vector
vector mobile
Inspektor Danych Osobowych i jego rola w organizacji
Udostępnij:
Czytaj więcej

W lutym 2025 r. Prezes Urzędu Ochrony Danych Osobowych wydał drugi „Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych. v.2”. W Poradniku omówiona została rola Inspektora Ochrony Danych w organizacji, co jest ważną informacją bowiem w poprzedniej edycji poradnika kwestia ta nie została wyjaśniona. 

Inspektor Ochrony Danych osobowych jest powołany przez Administratora jako podmiot odpowiedzialny za nadzór nad przestrzeganiem przepisów ochrony danych osobowych w organizacji. W niektórych przypadkach przepisy RODO nakładają na Administratora obowiązek powołania Inspektora Ochrony Danych (organy i podmioty publiczne, banki, placówki medyczne itp.). IOD powinien cechować się niezbędnym poziomem wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. 

Inspektor danych osobowych i jego rola w organizacji 

Inspektorzy Ochrony Danych to wg Poradnika UODO to profesjonalni doradcy wspierający Administratorów i podmioty przetwarzające w zapewnieniu zgodności z przepisami RODO. W Poradniku podkreślono, że aby prawidłowo wykonywać swoje zadania IOD muszą być niezależni, a zakres ich odpowiedzialności powinien być wolny od konfliktu interesów. IOD powinien być włączony we wszystkie sprawy dotyczące ochrony danych osobowych.  

W Poradniku podkreśla się, że IOD nie może wykonywać zadań będących w zakresie obowiązków Administratora lub podmiotu przetwarzającego

IOD powinien: 

  • doradzać organizacji i personelowi w zakresie ochrony danych osobowych,  
  • monitorować przestrzegania RODO w organizacji,  
  • podnosić świadomość pracowników w zakresie RODO,  
  • współpracować z UODO  
  • pełnić funkcję punktu kontaktowego dla organu nadzorczego i osób, których dane dotyczą. 

IOD nie powinien: 

  • zgłaszać naruszeń ochrony danych osobowych Prezesowi UODO w imieniu administratorów, ani podpisywać i wysłać takich zgłoszeń, 
  • zawiadywać osób których dane dotyczą o naruszeniu danych osobowych w imieniu Administratora, 
  • dokumentować naruszeń ochrony danych osobowych w imieniu Administratorów (zwłaszcza jeżeli miałoby to prowadzić do ustalania celów i sposób przetwarzania danych osobowych albo określeniem działań zaradczych), 
  • podejmować zobowiązań dotyczących bezpieczeństwa przetwarzania w imieniu Administratorów lub podmiotów przetwarzających, 
  • działać na podstawie pełnomocnictwa w sprawach dotyczących ochrony danych osobowych. 

Uwaga!  

Wg nowego Poradnika - Naruszenie zasad dotyczących statusu IOD może skutkować sankcjami administracyjnymi ze strony Prezesa UODO, w tym karami pieniężnymi. 

Takie zakreślenie obowiązków i zakazów IOD może budzić kontrowersje. Skoro IOD jest osobą, która w organizacji ma największą wiedzę na temat ochrony danych osobowych to dlaczego nie może dokonać zgłoszenia naruszenia do Prezesa UODO i nie może być wskazana jako osoba powiadająca najwięcej informacji na ten temat? Jeżeli IDO nie może dokumentować naruszeń, to czy zrobi to poprawnie Administrator, który może nie mieć specjalistycznej wiedzy w zakresie ochrony danych osobowych? 

Analizując przedmiotowy Poradnik należy stwierdzić, że Prezes UODO nakłada na IOD wąskie uprawnienia – niemal wyłącznie doradcze i audytorskie.  

Wydaje się, że nowa interpretacja obowiązków IDO jest mało praktyczna z biznesowego punktu widzenia. Teoretycznie można by było przyjąć interpretację, że konieczne jest zatrudnienie w organizacji oprócz IOD innej osoby, która będzie wykonywać zadania w zakresie ochrony danych osobowych. Oczekiwania Prezesa UODO będą jednak musiały skonfrontować się w przyszłości nie tylko z praktyką biznesową, ale również z sądami administracyjnymi, które rozstrzygną prawidłowość takiej interpretacji.