Opis
Inspektor/Audytor Rodo
Agnieszka Sutor nr 5773
Przy wyborze abonamentu na inspektora umowa podpisywana jest na 24 miesiące.
Kim jest Inspektor Ochrony Danych Osobowych (IOD)?
Inspektor Ochrony Danych Osobowych to osoba powoływana przez administratora lub podmiot przetwarzający do pomocy przy przestrzeganiu w firmie lub organizacji przepisów o ochronie danych osobowych. IOD pełni rolę pośrednika pomiędzy zainteresowanymi podmiotami (Urzędem Ochrony Danych Osobowych, podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane). Ponadto Inspektor Ochrony Danych Osobowych zapewnia realizację zasady rozliczalności – pomaga przy sporządzaniu oceny ryzyka, czy oceny skutku ochrony danych osobowych.
Zadania Inspektora Ochrony Danych Osobowych to:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach w zakresie ochrony danych osobowych wynikających z RODO,
- doradzanie, jak przestrzegać przepisów o ochronie danych osobowych,
- monitorowanie przestrzegania przepisów, polityk w zakresie ochrony danych osobowych,
- pomaganie przy sporządzaniu oceny ryzyka lub oceny skutków dla ochrony danych osobowych,
- zachowanie poufności względem wykonywanych zadań w ramach ochrony danych osobowych,
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego.
3 kategorie podmiotów obowiązanych do ustanowienia IOD
Obowiązek ustanowienia IOD mają:
Organy lub podmioty publiczne (z wyjątkiem sądów), RODO wskazuje także, że inspektora ochrony danych powinny powoływać także podmioty prywatne, realizujące zadania publiczne, np. dostarczanie energii, wody itp.
Administratorzy, których działalność opiera się na operacjach przetwarzania danych, które z uwagi na swój charakter, cele lub zakres wymagają monitorowania osób, których dotyczą. W tej kategorii znajdą się zarówno podmioty przetwarzające dane, jak i te, których działalność jest nierozerwalnie związana z ich przetwarzaniem.
Dobrym przykładem podmiotu przetwarzającego dane na dużą skalę jest firma hostingowa, która mimo, że jest z reguły procesorem, to przechowuje dane osobowe bardzo dużej ilości osób, których administratorami są firmy, korzystające z usług hostingu.
Kolejnym przykładem jest firma świadcząca usługi call center, która na zlecenie swoich klientów świadczy usługi, przetwarzając duże ilości danych osobowych – mimo, że jest jedynie procesorem.
Firma świadcząca usługi pośrednictwa pracy, najmu pracowników lub prowadząca serwis ogłoszeniowy, który gromadzi CV osób poszukujących pracy, również podlega pod ten przypadek.
Administratorzy, których działalność opiera się na operacjach przetwarzania danych osobowych szczególnych kategorii osób, a więc danych wrażliwych. Ta kategoria może odnosić się do danych dotyczących naruszeń prawa lub wyroków skazujących.
Danymi wrażliwymi według RODO są dane określające poglądy polityczne, przekonania religijne, pochodzenie rasowe, orientację seksualną, przynależność do związków zawodowych, także dane zdrowotne, biometryczne lub genetyczne.
Innym przykładem podmiotu przetwarzającego dane jest szpital świadczący usługi opieki medycznej, które wymagają przetwarzania danych Pacjentów. Każda apteka z racji tego, że przetwarza wrażliwe dane osobowe pacjentów realizujących recepty, również podlega pod ten obowiązek. Firma prowadząca randkowy serwis internetowy, gdzie użytkownicy określają swoje preferencje seksualne, nałogi bądź przekonania religijne będzie musiała powołać IOD. Kolejnym przykładem obowiązkowego powołania IDO może być firma prowadząca salon piękności, gdzie część zabiegów wymaga zebrania oświadczeń o stanie zdrowia klientki(a) np. ciąża, choroby wieńcowe, alergie itp.
Czy obowiązek dotyczy tylko ADO?
Obowiązek ustanowienia IOD dotyczy zarówno administratorów, jak i procesorów, a więc podmiotów przetwarzających dane w imieniu administratora.