Słowniczek

Inspektor Ochrony Danych (IOD)

Inspektor Ochrony Danych (IOD, ang. DPO — Data Protection Officer) to osoba wyznaczona przez administratora lub podmiot przetwarzający danych osobowych, której zadaniem jest nadzorowanie przestrzegania przepisów o ochronie danych, informowanie i doradzanie, współpraca z organem nadzorczym (UODO) oraz pełnienie funkcji punktu kontaktowego. Obowiązek wyznaczenia IOD dotyczy: organów i podmiotów publicznych, organizacji przetwarzających dane na dużą skalę (główna działalność wymaga regularnego i systematycznego monitorowania osób) oraz organizacji przetwarzających dane wrażliwe na dużą skalę. IOD powinien posiadać wiedzę z zakresu prawa ochrony danych i praktyk, być niezależny (nie może otrzymywać instrukcji co do wykonywania zadań), nie może być karany za wykonywanie obowiązków i podlega bezpośrednio najwyższemu kierownictwu. IOD może być pracownikiem lub zewnętrznym specjalistą. Dane IOD należy zgłosić do UODO.

Obowiązkowo: organy publiczne, podmioty przetwarzające dane na dużą skalę jako główną działalność (np. banki, ubezpieczyciele, szpitale) i podmioty przetwarzające dane wrażliwe na dużą skalę. Pozostali mogą wyznaczyć dobrowolnie.

Tak — IOD może być pracownikiem (wewnętrzny IOD) lub zewnętrznym specjalistą na umowie. Wewnętrzny IOD nie może pełnić funkcji, które powodowałyby konflikt interesów (np. dyrektor IT, dyrektor HR, prezes). Musi być niezależny w swoich zadaniach.

RODO wymaga 'wiedzy fachowej w dziedzinie prawa i praktyk ochrony danych'. Nie ma wymaganych certyfikatów. W praktyce cenione: wykształcenie prawnicze lub IT, certyfikaty CIPP/E, CIPM, audytor ISO 27001, doświadczenie w ochronie danych.

Informowanie i doradzanie administratorowi, monitorowanie przestrzegania RODO, szkolenia pracowników, współpraca z UODO, punkt kontaktowy dla osób, których dane dotyczą, opiniowanie DPIA (ocena skutków), prowadzenie rejestru czynności przetwarzania.

Nie — odpowiedzialność za zgodność z RODO ponosi administrator (pracodawca), nie IOD. IOD doradza i monitoruje, ale nie jest odpowiedzialny za decyzje administratora. Nie może być karany ani odwoływany za wykonywanie swoich zadań.

Powiązane pojęcia

Dane biometryczne pracowników

Monitoring pracowników

Naruszenie ochrony danych osobowych

Obowiązek informacyjny RODO

Ocena skutków dla ochrony danych (DPIA)