Inspektor ochrony danych osobowych – IOD to nowa funkcja lub instytucja, którą niektóre firmy i podmioty będą zobowiązane powołać, najpóźniej 25 maja 2018 roku. IOD jest uważany za odpowiednik aktualnie działającego w firmach administratora danych osobowych – ABI. Jednak nie możemy postawić znaku równości między tymi funkcjami.

Różnice między ABI i IOD

Różnice występują już w samej kwestii powołania – nie musimy powoływać. W przypadku inspektora ochrony danych jego powołanie w niektórych przypadkach będzie obowiązkowe. Administrator, jak sama nazwa wskazuje, zajmował się ewidencjonowaniem danych osobowych czy współpracą z GIODO, prowadził też wewnętrzne szkolenia z bezpieczeństwa danych, ale tak naprawdę wielokrotnie nie miał realnego wpływu na zastosowane rozwiązania i narzędzia służące przestrzeganiu ustawy o ochronie danych osobowych.

Dużo szersze kompetencje będzie miał inspektor ochrony danych. Przede wszystkim jego funkcja ma być bardziej niezależna. Do niego będzie należało szukanie nieprawidłowości w zakresie funkcjonujących rozwiązań i istniejącego prawa oraz proponowanie zmian tak, aby było ono przestrzegane.

Podkreśla się, że taka osoba lub podmiot musi wykazywać się ogromną wiedzą ekspercką, żeby móc pełnić rolę doradcy, a pewnie i przedstawiciela firmy w przypadku kontroli. Powinien on również prowadzić szkolenia z bezpieczeństwa danych. Warto podkreślić, że inspektor ochrony danych nie musi być pracownikiem naszej firmy. Na przykład kilka firm w obrębie grupy kapitałowej może współpracować z jednym inspektorem ochrony danych, jednak musi on być na równi dostępny dla wszystkich podmiotów.

Kto musi powołać inspektora ochrony danych osobowych?

Art. 37 RODO definiuje, kto jest zobligowany do powołania inspektora ochrony danych. I tak czytamy w nim, że będą to organy lub podmioty publiczne z wykluczeniem sądów oraz firmy, których główna działalność polega na przetwarzaniu danych osobowych na dużą skalę lub realizacja głównej działalności wymaga regularnego monitorowania osób, których dane te dotyczą. Rozporządzenie niestety nie definiuje, czym jest “główna działalność” i “duża skala”. W związku z tym każdą sytuację będzie trzeba rozważać indywidualnie.

I tak, zarówno osoba prowadząca bibliotekę czy żłobek, będzie musiała powołać inspektora ochrony danych lub porozumieć się z podobnymi podmiotami i takim inspektorem podzielić. Wynika to z faktu, iż organy publiczne nie dają nam swobodnego wyboru, które dane im chcemy przekazać, a które nie. Tym bardziej muszą być szczególnie chronione. Co to jeszcze oznacza w praktyce?

Przy takiej definicji, jaką znajdziemy w rozporządzeniu, w zasadzie wszystkie organizacje, niezależnie od swojej wielkości, jak na przykład wypożyczalnia quadów, które gromadzą w swojej firmie informacje umożliwiające identyfikację osób, będą musiały dla własnego dobra skorzystać ze wsparcia inspektora danych osobowych, a przynajmniej wybrać się na szkolenie z bezpieczeństwa danych.