Zadania inspektora ochrony danych zostały precyzyjnie wskazane w art. 39 ust. 1 oraz 38 ust. 4 RODO.
Informowanie – pierwsze z zadań IOD
Jako pierwsze z nich art. 39 ust. 1 określa jako:
informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
art. 39 ust. 1 lit. a RODO
To ważny punkt, który wskazuje jednoznacznie na rolę informacyjną i edukacyjną. Zadanie jest wypełnione gdy każda osoba przetwarzająca dane osobowe jest świadoma swoich obowiązków związanych z przetwarzaniem danych. Bez wątpienia nie należy oczekiwać, by każdy pracownik natychmiast stał się specjalistom w tej dziedzinie. Jednak osoba pracująca w określonym dziale powinna wiedzieć w ramach jakich czynności przetwarza się dane osobowe w obszarze, jakie to są kategorie itd. Warto by takie osoby były zaangażowane w podstawowe procesy związane z przetwarzaniem danych. Należą do nich zarządzanie upoważnieniami, realizacja żądań czy też okresowe usuwanie danych, potocznie zwane retencją. Ważną rzeczą jest podstawowa wiedza o postępowaniu w przypadku naruszenia. Często zdarza się, że pracownicy nie są świadomi pilności tego zagadnienia.
Monitorowanie
Na drugie zadanie art. 39 ust. 1 wskazuje:
monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
art. 39 ust. 1 lit. b RODO
Ten punkt wskazuje jednoznacznie, że kluczowy obowiązek IOD to działania operacyjne czyli monitorowanie przestrzegania prawa i wewnętrznych polityk. Właściwe narzędzia wspierające pomogą w kontroli podstawowych wskaźników operacyjnych. Podobnie jak przednio realizacja tego zadania nie będzie możliwa bez zaangażowania personelu uczestniczącego w operacjach przetwarzania. Do ważnych zadań regulator wskazuje audyty. Można je realizować zarówno zasobami wewnętrznymi, jaki i zewnętrznymi.
Udzielanie zaleceń
udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
art. 39 ust. 1 lit. c RODO
Zgodnie z art. 35 ust. 2 RODO administrator dokonując oceny skutków konsultuje się z IOD, jeżeli został wyznaczony, w celu wydania przez niego zaleceń. Warto także pamiętać, że na podstawie Wytycznych Grupy Roboczej Art. 29, administrator dokonując ww. oceny powinien konsultować się z IOD w następujących kwestiach:
- czy należy przeprowadzić ocenę skutków dla ochrony danych;
- metodologii przeprowadzenia oceny skutków dla ochrony danych;
- czy należy przeprowadzić wewnętrzną ocenę czy też zlecić ją podmiotowi zewnętrznemu;
- zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą;
- prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z RODO (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy zastosować).
Jak widać w ramach zadań IOD winien aktywnie uczestniczyć procesie oceny skutków dla ochrony danych. Co jednak istotne, rola jego nie jest tu wiodąca, a wspierająca.
Zadaniem IOD jest także współpraca z organem nadzorczym
współpraca z organem nadzorczym;
art. 39 ust. 1 lit. d RODO
IOD powinien współpracować z organem nadzorczym w kwestiach związanych z przetwarzaniem danych osobowych oraz w stosownych przypadkach zwracać się do niego
Punkt kontaktowy
pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
art. 39 ust. 1 lit. e RODO
IOD pełni zatem rolę łącznika pomiędzy administratorem lub podmiotem przetwarzającym, a organem nadzorczym. Świadczy on zarówno wsparcie administratorowi w zakresie sposobu wykonania obowiązków nałożonych na administratora wynikających z RODO , jak i reprezentuje administratora przed organem.
IOD z jednej strony udziela fachowego wsparcia administratorowi w zakresie sposobu wykonania obowiązków nałożonych na administratora wynikających z RODO, z drugiej strony wspomaga go przed organem nadzorczym w wykazaniu zasadności wybranych rozwiązań w ramach prowadzonych przez organ postępowań. Dotyczy to zarówno konsultacji, udzielania informacji jak i naruszeń.
Warto zwrócić uwagę, że powołany inspektor ochrony danych zgodnie z Wytycznymi Grupy Roboczej art. 29 powinien, komunikować się w języku używanym przez Prezesa Urzędu.
Ważne zadanie IOD – punkt kontaktowy dla osób, których dane dotyczą
Rozporządzenie RODO w istocie dotyczy uporządkowania i zabezpieczenia praw osób, których dane dotyczą. Dlatego bardzo ważne zadanie IOD określone zostało w art. 38 ust. 4.
Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
art. 38 ust. 4 RODO
IOD jest zatem punktem kontaktowym dla wszystkich osób, których dane dotyczą a chcą skontaktować się w sprawie swoich danych osobowych. Prawa te zostały określone w art. 15-22 RODO. Ważne jest by administrator umożliwił taki kontakt podmiotom danych. Pewnym sposobem jest umieszczenie adresu e-mail na stronie internetowej. By usprawnić realizację praw wielu administratorów stosuje rozwiązania pomagające w sposób kompleksowy i terminowy zarządzać żądaniami podmiotów danych, w szczególności prawa do zapomnienia.
Na koniec warto zauważyć, że niejako spoiwem właściwego zarządzania RODO jest współpraca. Bez niej ryzyko dla danych istotnie rośnie. O jednym trzeba jednak pamiętać, IOD nie jest osobą, która odpowiada za cały obszar przetwarzania danych. Jest menadżerem tego obszaru i jednocześnie specjalistom wspierającym tych, którzy w procesach uczestniczą i za nie odpowiadają.