Inspektor Ochrony Danych, aby mógł właściwie wykonywać nałożone na niego przepisami RODO obowiązki, został wyposażony w specjalne uprawnienia określone w art. 38 RODO. Jedna z przyznanych gwarancji dotyczy zapewnienia Inspektorowi odpowiedniego dostępu do danych oraz procesów, w których są one przetwarzane.
Art. 38 ust. 1 RODO brzmi: Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
Literalne brzmienie cytowanego przepisu wskazuje, że IOD powinien być włączany w cały przekrój spraw dotyczących danych osobowych – dosłowna interpretacja przepisu nie pozostawia bowiem miejsca Administratorowi danych do decydowania o pomijaniu, jego zdaniem, mniej ważnych aspektów przetwarzania danych.
Użyte pojęcia »właściwość« i »niezwłoczność« wskazują, że organizacje muszą włączać IOD na tyle wcześnie, by mógł on efektywnie oraz odpowiednio do zagrożeń wykonywać swoje zadania w stosunku do okoliczności sprawy1. Udział Inspektora Ochrony Danych w jak najwcześniejszych etapach planowania procesów przetwarzania jest niezwykle ważny dla całej organizacji, nie tylko ze względu na doniosłość zasad privacy by default oraz privacy by design, ale też ze względu na jego właściwe wdrożenie w te procesy oraz możliwość przeprowadzenia efektywnych konsultacji.
W opinii Grupy Roboczej art. 29, IOD:
powinien brać regularny udział w spotkaniach wyższej oraz średniej kadry zarządzającej;
powinien brać odpowiednio udział we wszystkich etapach, na których podejmowane są decyzje co do kształtu projektowanych założeń. Powinien on przy tym być na tyle wcześniej o nich informowany, by mógł rekomendować adekwatne rozwiązania;
powinno się niezwłocznie informować o zaistniałych naruszeniach danych lub innych incydentach,
Praktycznym problemem związanym z przywołanym przepisem jest nieodpowiednie włącznie IOD w kwestie dotyczące ochrony danych osobowych wynikające z niewiedzy pracowników o tym, że dana kwestia wchodzi w zakres prawa ochrony danych osobowych. Z tego powodu ważne jest też przeprowadzanie przez IOD odpowiednich szkoleń oraz dbanie o odpowiedni poziom znajomości przepisów dot. ochrony danych wśród pracowników organizacji. W przypadku niedopełnienia tych obowiązków IOD może napotkać problemy związane z efektywną współpracą z pracownikami organizacji, w której pełni funkcję „strażnika danych”.
W celu zapewnienia sobie odpowiedniego poziomu informacji na temat przetwarzania danych w organizacji IOD powinien także opracować oraz wdrożyć odpowiedni proces konsultacji nowych inicjatyw, który zapewni mu notyfikację o procesach przetwarzania danych, nawet jeśli pracownicy ich właściwie nie zidentyfikują. Innym rozwiązaniem może być stworzenie procedury, która ułatwi pracownikom zakwalifikowanie odpowiednich czynności jako procesów przetwarzania danych.
Każdy Administrator danych powinien pamiętać, że wyznaczenie IOD wiąże się nie tylko z jego obowiązkami, ale także z przyznanymi przez przepisy uprawnieniami, których nie można pominąć. Inspektor Ochrony Danych nie może być postacią istniejącą tylko w dokumentacji organizacji. Celem wykonywania swoich obowiązków musi żywo uczestniczyć w działalności firmy, znać jej procesy oraz zasady działania. IOD nie jest bowiem „złem koniecznym”, ale postacią, która może mieć decydujący wpływ na ochronę danych i zgodność organizacji z przepisami. Administratorzy powinni zatem współpracować z nim i jak najwcześniej wdrażać go we wszystkie elementy, które mogą być związane z ochroną danych.
Nawet najlepszy IOD nie będzie w stanie efektywnie wykonywać swoich obowiązków bez odpowiedniego poziomu wiedzy o wewnętrznych strukturach i działaniach organizacji, w której go wyznaczono.
Post Kiedy i w jakie sprawy powinien być włączany IOD? pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.
Przeczytaj więcej: Kiedy i w jakie sprawy powinien być włączany IOD?
Pragniemy poinformować, że również i w tym roku Maciej Chodorowski będzie miał przyjemność być jednym…
Pragnę poinformować, że również i w tym roku będę miał przyjemność być jednym z wykładowców…
Wysyłając życzenia dotykamy bardzo prywatnej sfery życia adresata. Wysyłka kartek/życzeń, o ile bardzo miła, może…
Serdecznie dziękuję za udział w moich wykładach na studiach podyplomowych z ODO przeprowadzonych na UMCS.…
Aby odpowiednio wdrożyć przepisy RODO w danym przedsiębiorstwie niezbędne jest podjęcie uprzednich działań o charakterze…
Jak powinien wyglądać proces rekrutacji, aby cechował się zgodnością z przepisami o ochronie danych osobowych?…