RODO- Inspektor danych osobowych, a odpowiedzialność administratora- CZĘŚĆ V
Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)- dalej RODO zakładają, że we wskazanych w tym akcie przypadkach przedsiębiorstwo jest zobowiązane do ustanowienia Inspektora danych osobowych.
Kiedy musi być ustanowiony inspektor danych osobowych?
Zgodnie z art. 8 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – dalej u.o.d.o., administrator i podmiot przetwarzający zobowiązani są do wyznaczenia inspektora ochrony danych w przypadkach i na zasadach określonych w art. 37 RODO. Artykuł 9 u.o.d.o. wskazuje, że przez organy i podmioty publiczne zobligowane do wyznaczenia Inspektora Danych Osobowych, o których stanowi art. 37 ust. 1 lit. a RODO, rozumie się:
-jednostki sektora finansów publicznych,
-instytuty badawcze,
-Narodowy Bank Polski.
Natomiast w świetle art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają Inspektora Danych Osobowych zawsze gdy:
-przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
-główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
-główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
W pozostałych przypadkach wyznaczenie Inspektora Ochrony Danych nie jest obowiązkowe, jak stanowi art. 37 ust. 4 RODO.
Jakie obowiązki ma Inspektor Danych Osobowych?
Zgodnie z art. 39 RODO inspektor ochrony danych ma następujące zadania:
-informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie,
-monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
-udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
-współpraca z organem nadzorczym,
-pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
Inspektor ochrony danych musi wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.
Czy posiadanie Inspektora Ochrony Danych zwalnia z odpowiedzialności administratora?
Odpowiedzialność za ochronę danych osobowych spoczywa zawsze na administratorze danych. Ogół przepisów i sankcji przewidzianych przepisami RODO są co do zasady adresowane do administratora danych i podmiotu przetwarzającego. Inspektor Ochrony Danych odpowiada za swoje rekomendacje i proponowane rozwiązania. Zgodnie z art. 38 ust. 3 RODO, Inspektor Ochrony Danych nie może być odwoływany ani karany za wypełnianie swoich zadań – jest to jedna z gwarancji jego niezależności. Dlatego też administrator danych osobowych powinien posiadać ubezpieczenie od odpowiedzialności cywilnej.