Obowiązki inspektora ochrony danych (IOD) w świetle RODO (GDPR)

Unijne rozporządzenie o ochronie danych osobowych zacznie obowiązywać 25 maja 2018 roku. Nowe przepisy obejmą w zasadzie wszystkie podmioty gromadzące i wykorzystujące dane dotyczące osób fizycznych. Ważne zmiany nie ominą placówek ochrony zdrowia (m.in. szpitali).

Foto: pixabay.com

Czym ma zajmować się inspektor ochrony danych (IOD)?

– Wyznaczenie inspektora leży w interesie administratora danych, który mając profesjonalistę z tego zakresu jest w stanie zapewnić rzeczywistą ochronę posiadanym informacjom, kontrolować sytuacje związane z przetwarzaniem, nie dopuścić do powstania naruszeń skutkujących odpowiedzialnością finansową placówki, a tym samym także zwiększyć poziom swojej konkurencyjności na rynku – mówi Monika Krasińska, dyrektor Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO.

W jej ocenie nie trzeba od razu tworzyć etatu dedykowanego dla takiego pracownika (może to być osoba z zewnątrz). Niemniej obecność inspektora ochrony danych można uznać za atut dla administratora przetwarzającego dane, bo będzie potrafił lepiej odnaleźć potencjalne rzeczywiste i potencjalne ryzyka. Wśród zadań inspektora jest m.in. informowanie pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia, monitorowanie przestrzegania przepisów zawartych w RODO, podejmowanie działań zwiększających świadomość personelu uczestniczącego w operacjach przetwarzania (m.in. przeprowadzanie audytów).

– Zgodnie z przepisami rozporządzenia, inspektor będzie musiał został powołany we wszystkich placówkach publicznych, a także w większości placówek prywatnych, ponieważ RODO stanowi, że do wyznaczenia inspektora ochrony danych zobowiązane są m.in. te podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a do takiej kategorii należą dane o stanie zdrowia. Być może sposób sformułowania przepisu określającego obowiązek wyznaczenia inspektora jest mało precyzyjny, ale takie sformułowanie zostało użyte celowo, by administratorzy danych samodzielnie dokonywali analizy sytuacji i oceniali, czy taki obowiązek w ich przypadku istnieje – mówi Monika Krasińska z Biura GIODO.

Przypomnijmy, że Rozporządzenie Ogólne o Ochronie Danych Osobowych (polski skrót: RODO), czyli General Data Protection Regulation (unijny skrót: GDPR) było opracowywane i dyskutowane przez kilka lat. Dokument został przyjęty przez Parlament Europejski i Radę Unii Europejskiej w kwietniu 2016 roku. Jeśli dojdzie do naruszenia danych osobowych to, na mocy rozporządzenia, firma będzie musiała zgłosić ten fakt do Generalnego Inspektora Ochrony Danych Osobowych w ciągu – co ważne – 72 godzin.

Przydatne linki:

• Cała rozmowa dyrektor Moniką Krasińską
• Więcej o RODO

Do pobrania: 

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (wersja PDF)