Inspektor Ochrony Danych pod RODO – jakie firmy muszą zatrudnić inspektora DPO i kto może nim zostać?
25 maja 2018 roku zaczęło obowiązywać rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej o ochronie danych osobowych. Maj to był naprawdę trudny okres dla wielu firm – od największych koncernów po jednoosobowe działalności gospodarcze. Niektóre firmy prywatne oraz jednostki administracji publicznej zostały w myśl przepisów zobligowane do zatrudnienia osoby, która będzie trzymać pieczę nad prawidłowym przetwarzaniem danych osobowych. Gdzie musi zostać zatrudniony Inspektor Ochrony Danych i kto może takim inspektorem zostać?
DPO – jakie firmy potrzebują Inspektora Ochrony Danych pod RODO?
To, kto tak naprawdę potrzebuje Inspektora Ochrony Danych, określa sama ustawa RODO. Państwom członkowskim pozostaje możliwość rozszerzenia, jednak Polska z tego prawa nie skorzystała. Zatem w Polsce obowiązują przepisy Unii Europejskiej w niezmienionym kształcie.
W Polsce obowiązek zatrudnienia Inspektora Ochrony Danych spoczywa na:
- Państwowych organach lub podmiotach publicznych, które przetwarzają dane osobowe, z wyjątkiem sądów w wymiarze sprawowania wymiaru sprawiedliwości
- Administratorach lub podmiotach, u których główna działalność polega na przetwarzaniu szczególnych danych osobowych (np. danych dotyczących wyroków sądowych czy danych medycznych) na dużą skalę
- Podmiotach lub administratorach, które ze względu na swój charakter zajmują się przetwarzaniem danych osobowych na dużą skalę oraz systematycznym monitorowaniem osób
Trzeci punkt może dotyczyć właśnie Twojej firmy. Jeśli nie masz pewności czy spoczywa na Tobie ten obowiązek, koniecznie skonsultuj to z prawnikiem od prawa gospodarczego i administracyjnego. Warto podkreślić, że Inspektora mogą zatrudnić także firmy, których ten obowiązek się nie tyczy.
Kto może zostać Inspektorem Ochrony Danych pod RODO?
Przepisy ściśle nie precyzują, jakim wykształceniem musi wykazać się osoba, która aspiruje na stanowisko Inspektora Ochrony Danych. Na pewno taka osoba musi:
- Posiadać fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych, zarówno wynikającą z ustawy RODO, jak i innych obowiązujących w Polsce przepisów regulujących dane zagadnienia
- Posiadać fachową wiedzę z zakresu zarządzania danymi i ich przetwarzania, konieczna jest znajomość systemów informatycznych oraz stosowanych u administratora danych zabezpieczeń
Osoba, które obejmuje to stanowisko, powinna także znać branżę, w której działa firma. Nie jest to wymóg ustawowy, jednak dla dobra firmy zdecydowana większość właścicieli firm kładzie nacisk również na wiedzę branżową.
Dlatego często na to stanowisko zatrudniana jest osoba, która pracowała w firmie na innym stanowisku. Mile widziane są także osoby spoza firmy, ale znające branże. Firma może także zatrudnić osobę z zewnątrz lub firmę outscourcongową. Każde rozwiązanie ma swoje zalety i wady. Najważniejszy jest zapewnić odpowiednie warunki pracy Inspektorowi Ochrony Danych. Osoba ta nie powinna mieć przydzielonych innych obowiązków, które kolidowałyby z wykonywaniem obowiązków.
Zakres obowiązków Inspektora Ochrony Danych pod RODO oraz jego przełożonego
Firma, która zatrudnia inspektora, musi ten fakt zgłosić Prezesowi Urzędu Ochrony Danych Osobowych. W zgłoszenia należy zawrzeć imię i nazwisko inspektora, jego numer telefonu lub adres e-mail, dane administratora lub podmiotu. Dane inspektora powinny znaleźć się także w widocznym miejscu na stronie internetowej lub (jeśli firma jej nie posiada) w widocznym miejscu w siedzibie firmy.
Inspektor Ochrony Danych zobowiązany jest do stałego czuwania nad prawidłowym przetwarzaniem danych, do wprowadzania nowych procedur i udogodnień w ramach ustawy RODO, szkolenia pracowników, do przeprowadzania audytów, do wdrażania zaleceń administratora i do współpracy z Prezesem Urzędu Ochrony Danych Osobowych.
Bezpośrednim przełożonym inspektora jest właściciel firmy lub zarząd spółki. Brak pośredników między najważniejszą osobą decyzyjną w firmie a inspektorem jest ważne zarówno ze względu na konieczność niezależności inspektora, jak i na możliwości reagowania w sytuacji kryzysowej (np. w przypadku wycieku danych lub poważnej awarii systemu informatycznego).
Ostateczna decyzja, kto zostanie zatrudniony na stanowisko DPO należy do właściciela firmy, który bezpośrednio odpowiada za wszelkie nieprawidłowości w przetwarzaniu danych osobowych.