Poradniki

Czy wyznaczać Inspektora Ochrony Danych (IOD)? Kiedy to obowiązek, a kiedy warto

  Administrator Danych IOD

Wyznaczenie Inspektora Ochrony Danych (IOD) to jeden z tych tematów, które w firmach wracają jak bumerang: „czy musimy?”, „czy warto?”, „czy UODO się przyczepi, jeśli nie wyznaczymy?”. RODO daje w tym przypadku jasne kryteria, ale praktyka pokazuje, że najwięcej problemów wynika nie z samego braku IOD, tylko z braku udokumentowanej analizy i realnego nadzoru nad zgodnością.

W tym artykule znajdziesz odpowiedzi na następujące zagadnienia: kto musi wyznaczyć IOD, kto może zostać IOD, jak dokonać analizy obowiązku wyznaczenia IOD, co zrobić, gdy obowiązku nie ma i jakie są konsekwencje formalne, jeśli IOD jednak wyznaczysz.

Zobacz podsumowanie w mniej, niż 3 minuty

Kto musi, a kto może wyznaczyć IOD?

Generalnie powołanie Inspektora Ochrony Danych nie jest obowiązkowe. Wyjątki od tej zasady są wskazane w RODO.

Kiedy IOD jest obowiązkowy – art. 37 RODO

Zgodnie z przepisami o ochronie danych osobowych (art. 37 RODO), IOD muszą wyznaczyć:

  • Organy lub podmioty publiczne, czyli jednostki sektora finansów publicznych np. jednostki samorządu terytorialnego, uczelnie publiczne, szpitale publiczne.
  • Przedsiębiorcy, których główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób na dużą skalę, np.:
    • firmy świadczące usługi monitoringu
    • banki i firmy ubezpieczeniowe
    • firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki
    • dostawcy usług telefonicznych lub internetowych
  • Przedsiębiorcy przetwarzający dane osobowe szczególnie chronione m.in. informacje o stanie zdrowia na dużą skalę – np. firmy świadczące usługi medyczne albo dane dotyczące wyroków skazujących i czynów zabronionych.

Kiedy warto wyznaczyć IOD dobrowolnie

Jeżeli przesłanki obowiązku wyznaczenia IOD nie zachodzą, możesz wyznaczyć IOD dobrowolnie. RODO tego nie zabrania – a wręcz przeciwnie, w wielu organizacjach to wręcz najlepszy sposób na zapewnienie stałego nadzoru nad zgodnością, szczególnie gdy:

  • przetwarzanie danych osobowych jest rozproszone w ramach organizacji (wiele działów, wiele systemów);
  • firma posiada wielu procesorów (podmiotów przetwarzających), dokonuje licznych transferów danych osobowych;
  • firma często odpowiada na żądania osób (realizacja praw podmiotów danych takich jak m.in. prawo dostępu do danych, usunięcia, sprostowania danych, wniesienia sprzeciwu wobec przetwarzania danych osobowych);
  • zdarzają się incydenty (nawet drobne), a procedura postępowania z nimi nie występuje bądź nie została wdrożona.

Kto może zostać IOD?

Wymagane kompetencje i dopasowanie do skali przetwarzania

Inspektorem Ochrony Danych może zostać osoba, która posiada:

  • wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych (nie musi być to osoba o wykształceniu prawniczym ani informatycznym, chociaż oczywiście takie wykształcenie kierunkowe będzie dla IOD pomocne)
  • wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych
  • dogłębną znajomość przepisów RODO
  • wiedzę biznesową i sektorową dotyczącą działalności administratora
  • odpowiednią wiedzę na temat procesów przetwarzania danych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych
  • w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki

IOD wewnętrzny vs outsourcing (i konflikt interesów)

Zgodnie z art. 37 ust. 6 RODO Inspektorem Ochrony Danych może zostać zarówno pracownik administratora (o ile nie spowoduje to wystąpienia konfliktu interesów, a pracownik ten w zakresie, w jakim pełni funkcję IOD raportuje bezpośrednio do dyrekcji/zarządu) lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

Przepisy nie wskazują dokładnie, jaki poziom wiedzy musi mieć inspektor ochrony danych. Zgodnie z wytycznymi Grupy Roboczej Art. 29 jego wiedza powinna być jednak dopasowana do tego, czym zajmuje się dana organizacja – czyli do rodzaju, stopnia skomplikowania i ilości przetwarzanych danych. Im bardziej złożone procesy przetwarzania, im więcej danych wrażliwych albo im częstsze przekazywanie danych do państw trzecich, tym wyższy poziom wiedzy inspektora jest wymagany.

Jak przeprowadzić analizę obowiązku wyznaczenia IOD?

Dobra analiza obowiązku wyznaczenia IOD to krótki i konkretny dokument, w którym organizacja analizuje swoją główną działalność, skalę i charakter przetwarzania danych. Sprawdza, czy organizacja prowadzi regularne i systematyczne monitorowanie osób albo przetwarza na dużą skalę dane szczególnej kategorii. Celem analizy jest wyciągnięcie jasnego wniosku, czy dana organizacja ma obowiązek wyznaczyć IOD.

Główna działalność – jak ją ustalić

To nie „wszystko, co robimy”. Chodzi o działalność kluczową dla realizacji celów biznesowych.

Przykład: w sklepie internetowym główną działalnością jest sprzedaż, nie przetwarzanie danych – ale dane są niezbędne do obsługi zamówień.

Zidentyfikuj operacje przetwarzania związane z główną działalnością

W praktyce: jakie procesy „korzystają” z danych osobowych i bez nich firma nie działa.

Monitoring regularny i systematyczny (to nie tylko kamery)

Zadaj sobie (i biznesowi) proste pytania:

  • czy monitorujemy zachowanie osób regularnie i systematycznie?
  • czy jest to element modelu działania (np. profilowanie, tracking, scoring)?
  • czy dotyczy to dużej liczby osób?

„Monitoring” to nie tylko kamery. To także analityka danych, cookies, marketing automation, systemy lojalnościowe, aplikacje mobilne, telemetria, „antyfraud”.

Dane szczególnej kategorii i „duża skala”

  1. Weryfikację przesłanki występowania danych szczególnej kategorii

Nie chodzi o to, czy w ogóle przetwarzasz dane szczególnej kategorii — prawie każdy pracodawca przetwarza jakieś dane zdrowotne (np. zwolnienia lekarskie pracowników). Pytanie brzmi: czy przetwarzanie występuje w dużej skali i dotyczy głównej działalności organizacji?

  1. Identyfikację przetwarzania danych osobowych na „dużą skalę”

RODO nie podaje w tym przypadku progu liczbowego, dlatego w analizie warto przyjąć kryteria jakościowe, np.:

  • liczba osób, których dane dotyczą (dziesiątki, setki tysięcy),
  • liczba operacji / częstotliwość przetwarzania danych osobowych,
  • czas trwania przetwarzania (ciągłe vs incydentalne),
  • zakres danych (zwykłe vs szczególne),
  • zasięg geograficzny (lokalny vs ogólnopolski/UE / vs poza UE/EOG).

Wniosek + rekomendacje

Wniosek powinien brzmieć „spełniamy/nie spełniamy przesłanek art. 37 RODO”, ale rekomendacja może być szersza: „brak obowiązku wyznaczenia IOD, ale rekomendujemy wprowadzenie funkcji koordynatora ochrony danych”.

Co jeśli nie ma obowiązku wyznaczenia IOD? Jakie są alternatywy?

To jest moment, w którym firmy najczęściej wychodzą z założenia, że „skoro nie musimy wyznaczać IOD to po temacie”, jednak ten „temat” wraca – i to prędzej niż później: skarga pracownika, wyciek danych, problem z umową powierzenia.

Dobrowolny IOD – argumenty za i przeciw

Zawsze możesz wyznaczyć IOD dobrowolnie, a oto argumenty za takim rozwiązaniem:

  • jasny podział odpowiedzialności w strukturze organizacyjnej (bez rozmycia kompetencji),
  • stały nadzór zamiast jednorazowego audytu,
  • lepsza obsługa żądań i incydentów,
  • mniejszy chaos przy wdrożeniach IT/marketingu,
  • wzmocnienie wiarygodności (B2B, przetargi, compliance),
  • pełnienie przez IOD funkcji punktu kontaktowego, co „odciąża” organizacyjnie administratora danych.

Argumenty przeciw (uczciwie):

  • konieczność spełnienia formalnych wymagań wynikających z RODO (więcej na ten temat poniżej),
  • ryzyko wyznaczenia „IOD na papierze” (drogo i bez efektu),
  • konflikt interesów, jeśli funkcję próbuje pełnić ktoś decyzyjny (IT/HR/CEO).

Koordynator/OBDO – jak to poukładać sensownie

Gdy nie ma obowiązku wyznaczenia inspektora ochrony danych i nie chcesz powoływać go dobrowolnie, a jednocześnie zależy Ci na realnej kontroli nad procesami związanymi z przetwarzaniem danych osobowych, dobrą alternatywą może być Oficer Bezpieczeństwa Danych Osobowych (OBDO) lub Koordynator ds. ochrony danych osobowych. Jest to osoba pełniąca operacyjną rolę wewnątrz organizacji, która na co dzień czuwa nad obszarem RODO, koordynuje procesy i dba o ich spójność w praktyce. OBDO nie jest formalnie inspektorem ochrony danych, ale odpowiada za bieżące funkcjonowanie systemu ochrony danych, współpracując z zespołami wewnętrznymi oraz wspierając zewnętrznych doradców, takich jak Lex Artist.

W praktyce OBDO to osoba:

  • pełniąca realną funkcję operacyjną, z jasno określonym zakresem zadań, celami i raportowaniem,
  • odpowiedzialna za koordynację procesów RODO, bez formalnego statusu IOD,
  • będąca łącznikiem pomiędzy organizacją a zewnętrznym wsparciem eksperckim.

Jakie formalności wiążą się z wyznaczeniem IOD?

Jeżeli wyznaczasz IOD (obowiązkowo lub dobrowolnie), wchodzisz w reżim z art. 37–39 RODO.

Poniżej wymieniamy podstawowe wymogi formalne:

Sporządzenie wewnętrznego dokumentu wyznaczenia IOD

Dokument ten obowiązkowo sprawdzany jest podczas kontroli UODO.

Zgłoszenie IOD do UODO

Administrator ma obowiązek zgłosić dane kontaktowe IOD do organu nadzorczego (w Polsce: UODO).

Uwaga: Zgłoszenie dotyczy danych kontaktowych, a nie pełnego życiorysu wyznaczonej do pełnienia tej funkcji osoby — chodzi jedynie o możliwość nawiązania kontaktu w sprawach związanych z ochroną danych osobowych.

Udostępnienie danych kontaktowych IOD

Najczęściej robi się to przez:

  • politykę prywatności wraz ze wskazaniem tych danych w innym, ogólnodostępnym miejscu na stronie, np. w zakładce „Kontakt”,
  • klauzule informacyjne,
  • stopkę mailową.

Ważne: RODO mówi o danych kontaktowych, nie o imieniu i nazwisku. W praktyce często podaje się e-mail/funkcję, a nazwisko zależy od modelu w organizacji.

Podsumowanie

Spełnienie przesłanek z art. 37 RODO oznacza obowiązek wyznaczenia inspektora ochrony danych oraz dopełnienia wymaganych formalności. W pozostałych przypadkach warto przeprowadzić krótką analizę i pozostawić po niej udokumentowany „ślad”.

Jeśli nie masz obowiązku wyznaczania IOD, ale charakter działalności organizacji — czyli rodzaj, stopień skomplikowania i ilość przetwarzanych danych — wiąże się z istotnymi ryzykami w obszarze ochrony danych, warto rozważyć wyznaczenie dobrowolnego IOD albo koordynatora ds. ochrony danych osobowych.

Potrzebujesz wsparcia w tym obszarze? Chętnie pomożemy — sprawdź nasze usługi: Outsourcing IOD, wsparcie zewnętrzne RODO – Lex Artist

Autorka artykułu: Kinga Krasoń-Kocemba

Powiązane artykuły

Zostaw odpowiedź

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

 
Czas na rodo

 

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO

lex artist

Ochrona danych osobowych jest naszą specjalizacją od 18 lat.
Zaczęliśmy pomagać firmom na długo zanim biznes poznał RODO.
Wieloletnie doświadczenie to nasz atut, tak jak i zgrany zespół ekspertów.

  • Szczegółowe audyty RODO
  • Interesujące e-learningi
  • Szkolenia dla IOD
  • Outsourcing IOD
  • i wiele więcej

Zobacz, co jeszcze możemy dla Ciebie zrobić!

Koszyk
Przewijanie do góry