Administratorzy i podmioty przetwarzające, którzy są zobligowani albo podjęli decyzję o powołaniu Inspektora Ochrony Danych w swojej organizacji, mają do wyboru szerokie spektrum możliwości pomoc specjalistów w tym zakresie. Powołanie IOD znacząco podnosi poziom bezpieczeństwa w organizacjach. Jednak czy IOD musi pochodzić koniecznie z personelu Administratora Danych? W tym artykule odpowiadamy na to oraz inne częstsze pytania moich klientów dotyczące powołania zewnętrznych i wewnętrznych IOD.
Czy IOD może być tylko pracownikiem Administratora?
Inspektor Ochrony Danych może mieć charakter wewnętrzny lub zewnętrzny względem organizacji, w której został wyznaczony. Rozporządzenie umożliwia bowiem powołanie IOD spośród obecnych pracowników lub pracownika firmą wyspecjalizowanej w ochronie danych osobowych. RODO nie stawia wymogów odnośnie formy wyznaczenia, daje ono nam w tym zakresie wybór, którego możemy dokonać na podstawie własnych preferencji.
Wewnętrzny czy zewnętrzny IOD?
Jeśli zastanawiasz się, jaka forma współpracy z Inspektorem Ochrony Danych byłaby najkorzystniejsza dla Twojej organizacji, poniżej przedstawiamy tabelę z porównaniem zalet i wad wewnętrznego i zewnętrznego IOD.
Dla kogo wewnętrzny a dla kogo zewnętrzny IOD?
Jak wskazano powyżej, każda z dostępnych opcji wyznaczenia IOD posiada swoje plusy i minusy. Należy zatem rozważyć, który model współpracy jest bardziej korzystny dla konkretnej organizacji.
Małe i średnie firmy podmioty powinny rozważyć outsourcing IOD, ponieważ często nie potrzebują dodatkowego etatu przeznaczonego tylko dla pracownika zajmującego się ochroną danych. Wyznaczenie IOD spośród zatrudnionych pracowników może nadmiernie obciążyć tę osobę oraz spowodować konflikt interesów, który jest wprost zakazany przez RODO. Może mieć on mieć miejsce wtedy, gdy IOD w ramach obowiązków niezwiązanych ze swoją funkcją może określać cele i sposoby przetwarzania danych osobowych (w imieniu ADO jako np. osoba odpowiedzialna za kadry, marketingu czy IT). Ponadto małe podmioty zazwyczaj nie posiadają bardzo rozbudowanej struktury, więc zewnętrzny Inspektor Ochrony Danych może szybko zapoznać się z działalnością i procesami przetwarzania danych przedsiębiorstwa, a także zapewnić profesjonalną obsługę w tym zakresie. Powołanie IOD w tym wypadku przełoży się na wyższy poziom bezpieczeństwa danych oraz większe prawdopodobieństwo uniknięcia kar finansowych.
Duże organizacje powinny jednak posiadać kompleksową obsługę pod względem bezpieczeństwa danych, którą w przypadku złożoności strukturalnej i mnogości procesów przetwarzania danych lepiej gwarantuje wewnętrzny IOD. Podmioty takie często też funkcjonują większym budżetem, który może zostać spożytkowany na utworzenie nowej funkcji oraz doskonalenie wiedzy IOD. Należy przy tym pamiętać, że IOD musi posiadać określone wymogami RODO umiejętności i kompetencje oraz stale je poszerzać. Sposobem na pozyskanie takich umiejętności lub ich poszerzanie może być udział w szkoleniu dla Inspektorów Ochrony Danych.
Czy IOD to jedyne wyjście?
Warto zwrócić uwagę, że organizacje, która nie mają obowiązku i nie chcą dobrowolnie wyznaczyć IOD, mogą oddelegować zadania związane z odo na swoich pracowników lub zewnętrznych konsultantów. Często takie osoby w organizacji posiadają funkcję pełnomocników lub koordynatorów ochrony danych osobowych. Nazwa jest oczywiście dowolna, jednak należy zadbać o to, by nazwa funkcji, które obejmie taka osoba, jej pozycja i zakres obowiązków nie wzbudzały wątpliwości oraz błędnego zakwalifikowania tej osoby jako IOD. Dlatego też we wszelkich komunikatach publikowanych w ramach działalności organizacji, a także we wszelkich informacjach adresowanych do organów ochrony danych, podmiotów danych etc. należy jednoznacznie wskazać, że taki pracownik lub konsultant nie pełni funkcji Inspektora Ochrony Danych. Plusem powołania takie osoby jest brak realizacji gwarancji, które dla wielu organizacji mogą być uciążliwe. Brak tych gwarancji może jednak wpłynąć negatywnie na wykonywanie przez tą osobę funkcji. Minusem jest to, że należy taką osobę upoważnić do wszystkich czynności związanych z ochroną danych osobowych, ponieważ nie jest ona upoważniona do tego z mocy prawa.
Podsumowanie
Każda organizacja przed podjęciem decyzji o powołania IOD powinna przeprowadzić analizę czy jest do tego obowiązana oraz czy może dokonać tego dobrowolnie. Za powołaniem IOD przemawia wiele korzyści, jednak organizacja powinna również zapewnić mu określone gwarancje wykonywania jego funkcji. Inną możliwością jest ustanowienie np. Pełnomocnika ds. ODO. Podjęcie tej decyzji powinno zostać udokumentowane np. analizą zasadności powołania IOD.
Artykuł powstał przy wsparciu Katarzyny Woźniczak, młodszego specjalisty ds. ODO w Data Legal Solutions Sp. z o.o.
Post Wewnętrzny vs zewnętrzny Inspektor Ochrony Danych pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.
Source: jchi