Inspektor ochrony danych osobowych – czy warto go powołać?

Kilka tygodni temu przedstawiłam funkcję inspektora ochrony danych osobowych. Omówiłam jego status, stawiane mu wymogi, a także zadania. Zgodnie z przepisami RODO nie każda firma będzie musiała powołać własnego inspektora, jednak wiele z nich zastanawia się, czy nawet pomimo braku takiego wymogu nie warto tego zrobić? Podmioty, które pomimo braku obowiązku prawnego wyznaczenia inspektora będą się zastanawiały nad sensem powołania takiej osoby, powinny wziąć pod uwagę poniższe aspekty.

Po pierwsze, wyznaczenie inspektora nie wpływa na zmniejszenie ilości obowiązków, które będą musiały być wykonane przez podmiot w związku z kształtem „nowych” przepisów. Zapewnienie zgodności organizacji z przepisami RODO będzie musiało być zapewnione bez względu na wyznaczenie inspektora. Tak więc, osoby kierujące firmami powinny odpowiedzieć sobie na pytanie, kto będzie podejmował działania zapewniające poprawne przetwarzanie danych przez podmiot, którym kierują. Warto przypomnieć, że brak realizacji najważniejszych obowiązków wynikających z nowych przepisów (a jest ich mnóstwo) zagrożony będzie administracyjną karą pieniężną do 20 000 000 EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. A zatem istnieją dwie drogi: jedna – polegająca na akceptacji ryzyka poniesienia dotkliwej kary finansowej w związku z nierespektowaniem przepisów RODO, i druga – polegająca na wskazaniu osoby, lub zespołu osób, mających tę zgodność zapewnić.

Po drugie, wymierną korzyścią biznesową będzie posiadanie w swoim zespole osoby sprawnie zapobiegającej lub reagującej na incydenty związane z nieprawidłowym przetwarzaniem lub chronieniem danych osobowych. Poprawna reakcja, na wczesnym etapie zaistnienia incydentu, może uchronić organizację przed roszczeniami pochodzącymi od osób indywidualnych lub też znacząco zmniejszyć wymiar kary nakładanej przez organ nadzorczy. Warto wspomnieć, że kary przewidziane przepisami RODO będą mogły być stopniowane. Im więcej staranności organizacja włoży w projektowanie procesów przetwarzania danych, tak aby były bezpieczne, tym większe istnieją szanse, że w sytuacji wykrycia przez ten organ incydentu, nakładana kara będzie relatywnie mniejsza. Oczywiście sam fakt wyznaczenia inspektora będzie miał wpływ na uznanie organizacji za dokładającą wyższej staranności przy przetwarzaniu danych.

Argumentem, który może z kolei zniechęcać przedsiębiorców do powołania inspektora jest fakt, że osoba taka może w pewnych sytuacjach blokować lub spowalniać procesy biznesowe. Oczywiście wynikać to będzie z prawnej konieczności negatywnego zaopiniowania projektu biznesowego czy też poddania go starannej analizie pod kątem ryzyka z niego płynącego.Inspektor ochrony danych osobowych

Warto podsumować, że inspektor, który nie będzie wykonywał swych zadań w sposób profesjonalny lub też nie będzie posiadał pożądanych zdolności interpersonalnych, może nie spełniać zadań przewidzianych przepisami RODO. Tym samym może powstawać mylne przeświadczenie osób zarządzających o uporządkowaniu ochrony danych osobowych w organizacji, usypiające ich czujność. W rzeczywistości tymczasem poziom tej ochrony może nie być wystarczający. Dlatego też modelowe wyznaczenie inspektora powinno wiązać się z wyborem osoby, która faktycznie urzeczywistnia konkretne kompetencje. Posiada wymagane kwalifikacje zawodowe, w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych, a także będzie potrafić profesjonalnie reprezentować organizację w kontaktach z organem nadzorczym. Tylko wówczas powołująca go firma może spodziewać się realizacji powierzonych mu zadań na odpowiednim poziomie.

Marta Bargiel-Kaflik, prawnik, ABI, ekspert ds. ochrony danych w firmie konsultingowej Omni Modo. Obsługuje podmioty z branży lotniczej, farmaceutycznej, kosmetycznej oraz wsparcia administracji kadrowo – płacowej. Jest współpracownikiem portalu internetowego www.e-ochronadanych.pl oraz gdpr.pl.

Omni Modo to zespół ekspertów, prawników i informatyków, od 12 lat zajmujących się ochroną danych osobowych oraz bezpieczeństwem informacji i teleinformatycznym. W ofercie firmy znajdują się: dostosowanie do GDPR/RODO, audyty, szkolenia, przygotowywanie dokumentacji, pełnienie funkcji Administratora Bezpieczeństwa Informacji. Jedna z najstarszych i największych firm oferujących usługę zewnętrznego ABI, dzięki czemu może uczyć i dostarczać usługi w oparciu o własną metodykę wypracowaną na przestrzeni lat. Na swoim koncie ma ponad 300 audytów, ponad 10000 przeszkolonych osób oraz ponad 500 zadowolonych klientów. Autorzy portali: GDPR.pl oraz E-OchronaDanych.pl – pierwszego w Polsce portalu poświęconego ochronie danych osobowych. Współautorzy książki: “Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia” pod redakcją dr Macieja Kaweckiego oraz r.pr Tomasza Osieja. www.omnimodo.com.pl.”

Udostępnij ten artykuł na:
Chcesz dowiedzieć się więcej?
Aby pobrać zawartość wpisz swoje imię i email
Twoje dane są bezpiecznie. My też nie lubimy spamu.
Chcesz dowiedzieć się więcej?
Aby pobrać zawartość wpisz swoje imię i email
Twoje dane są bezpiecznie. My też nie lubimy spamu.