Outsourcing IOD

Protectus sp. z o.o. sp.k. jest wyspecjalizowaną firmą doradczą w zakresie m.in. ochrony danych osobowych. W ramach prowadzonej działalności zapewniamy outsourcing funkcji inspektora ochrony danych (dalej „IOD”). Funkcja IOD została bowiem wprowadzona na mocy rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”). Zakres działalności doradczej podejmowanej przez naszą firmę obejmuje zarówno unormowania zawarte w RODO, jak również w ustawie o ochronie danych osobowych z dnia 10 maja 2018 r.

 

Akty prawne w zakresie danych osobowych

Jak wskazano powyżej, głównymi aktami obecnie obowiązującymi, a normującymi większość materii z zakresu ochrony danych osobowych są: RODO oraz ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. Polskie unormowanie stanowi częściowe rozszerzenie zagadnień, o których RODO wspomina, a które to zostały przez unijnego prawodawcę scedowane na państwa członkowskie. Tytułem przykładu wartym wskazania jest, iż ustawa precyzuje jakie podmioty publiczne winny powoływać inspektorów ochrony danych osobowych.

Jakie obowiązki nałożyło RODO na administratorów danych osobowych?

RODO wprowadziło szereg zmian, które przedsiębiorcy muszą respektować. Wśród tych istotnych zmian jest m. in. doprecyzowanie i rozszerzenie praw podmiotów, których dane osobowe dotyczą oraz szereg obowiązków nałożonych na administratorów danych osobowych. Naszym zdaniem najważniejszymi obowiązkami są; obowiązek informowania o naruszeniu danych osobowych, przeprowadzanie analizy ryzyka, prowadzenie rejestru czynności przetwarzania danych osobowych czy obowiązek powołania inspektora ochrony danych osobowych. Warto wskazać, iż obowiązki wskazane powyżej obarczają również podmioty przetwarzające.
Przedsiębiorcy, celem wypełnienia obowiązku powołania IOD mogą skorzystać z dwóch możliwości: 1) stworzyć nowe stanowisko w swej strukturze organizacyjnej bądź 2) nawiązać współpracę z firmami zewnętrznymi w zakresie outsourcingu funkcji inspektora ochrony danych.

Powołanie inspektora ochrony danych osobowych – kiedy jest wymagane?

Do okoliczności, gdy powołanie IOD jest wymagane RODO wprowadza:

  1. przetwarzanie danych osobowych przez organy publiczne;
  2. monitorowanie osób, gdy ze względu na główną działalność podmiotów jest to konieczne (monitorowanie takie powinno być regularne i systematyczne);
  3. przetwarzanie na dużą skalę szczególnych kategorii danych osobowych;
  4. przetwarzanie danych osobowych dotyczy wyroków skazujących i czynów zabronionych.

Oznacza to, że jeżeli przedsiębiorca monitoruje osoby, przetwarza szczególne kategorie danych osobowych (np. dane o stanie zdrowia) na dużą skalę bądź przetwarza dane dotyczące wyroków to jest obowiązany do powołania IOD. Wobec braku definicji normatywnej pojęcia „duża skala”, należy odnieść się zarówno do dotychczasowej praktyki oraz motywów znajdujących się w samym RODO. Na ich podstawie można wysnuć wniosek, iż z dużą skalą będziemy mieli do czynienia, gdy zachodzi przetwarzanie dużej ilości danych osobowych bądź przetwarzanie takie wpływa na dużą liczbę osób.
W praktyce za „dużą skalę” uznaje:

  1. przetwarzanie danych osobowych swych pacjentów przez szpitale (bez względu na wielkość);
  2. monitoring kart miejskich;
  3. działalność bankową;
  4. działalność ubezpieczeniową.

Jakie zadania są wykonywane przez IOD?

Protectus sp. z o.o. sp.k. w ramach powierzenia jej funkcji IOD w ramach outsourcingu IOD wykonuje następujące zadania w imieniu klientów:

  1. wspomaga przedsiębiorców w monitorowaniu przestrzegania u nich przepisów RODO oraz innych związanych z ochroną danych osobowych;
  2. informuje podmioty oraz zatrudniony w nich personel o obowiązkach, jakie na nich spoczywają;
  3. wspomaga przedsiębiorców w tworzeniu oceny skutków dla ochrony danych osobowych, np. poprzez wydawanie zaleceń;
  4. współpracuje z organami nadzoru;
  5. pełni funkcję osoby kontaktowej w relacji przedsiębiorca – organ nadzorczy.

Jaki jest status IOD?

IOD jest to samodzielna funkcja, niezależna oraz wolna od wszelkich nacisków zarówno ze strony administratora danych osobowych, jak również osób trzecich. IOD może działać w ramach struktury organizacyjnej przedsiębiorcy. Funkcję tę można również sprawować poza strukturą przedsiębiorcy w ramach świadczenia usług outsourcingu. Taką właśnie usługę świadczy Protectus Sp. z o.o. Sp.k.

Podsumowanie

W świetle przepisów RODO nie wszystkie firmy mają obowiązek wyznaczenia IOD. Obowiązek taki istnieje wyłącznie, gdy zajdą okoliczności opisane w przepisach RODO. Należy jednak zwrócić uwagę, iż ustawodawca unijny posłużył się niedookreślonymi sformułowaniami, do których należy m. in. „stałe monitorowanie osób”, „duża skala”. Powoduje to istotne wątpliwości zarówno u administratorów danych osobowych oraz podmiotów przetwarzających. Mając jednak na uwadze rekomendacje Grupy Roboczej art. 29 uznać należy, iż funkcja IOD powinna być powołana u większości przedsiębiorców. Jest to wyłącznie zalecenie, ale każda spółka, a nawet osoba fizyczna prowadząca działalność gospodarczą powinna możliwość taką wziąć pod uwagę. Niekoniecznie bowiem wiązać się to będzie z wymogiem ustanowienia nowego stanowiska pracy. Funkcja IOD może być bowiem powierzona podmiotom wyspecjalizowanym, takim jak Protectus sp. z o.o. sp.k., które mają w swej ofercie outsourcing funkcji inspektora ochrony danych osobowych.

 

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50