REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Prawo » Praca » Praca » Umowa o pracę » Jakie obowiązki IOD można wpisać w umowie?

Jakie obowiązki IOD można wpisać w umowie?

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
03 stycznia 2019, 13:22
Sylwia Czub-Kiełczewska
Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
dokumenty RODO fot. shutterstock
dokumenty RODO fot. shutterstock

REKLAMA

REKLAMA

Inspektor ochrony danych to osoba pełniąca rolę doradczą oraz nadzorczą. Jeżeli będzie zbyt mocno zaangażowana w same procesy przetwarzania, nie będzie w stanie skutecznie wspierać administratora danych. Jaki powinien być zakres obowiązków IOD w umowie?

Zakres obowiązków IOD w umowie

W rozmowach z moimi znajomymi, pełniącym obowiązki Inspektorów, często przewija się temat zadań, jakie powinien wykonywać inspektor, a tym czego oczekuje administrator danych i co próbuje zamieścić w umowie z Inspektorem. Rozbieżność w oczekiwaniach obu stron jest duża, a jej główną przyczyną często jest to, że administrator chciałby zapłacić komuś, aby wziął na siebie “problem RODO” i nie zawracać sobie tym tematem głowy, a także fakt, że przed RODO zakres obowiązków ówczesnego ABI wynikający z obowiązujących wówczas przepisów był szerszy, niż obecnie. Polski ustawodawca uczynił ABI wykonawcą wielu obowiązków, które na mocy RODO należą do administratora danych. Osoby, które z ABI stały się IOD, stanęły przed dylematem, jak działać “po nowemu”.

REKLAMA

Zobacz również:

Zakres obowiązków IOD wynikający z RODO

  • powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
  • jest punktem kontaktowym dla osób, których dane dotyczą w sprawach dotyczących ich danych,
  • jest punktem kontaktowym dla organu nadzorczego w sprawach, które dotyczą przetwarzania danych przez administratora danych,
  • ma ustawowy obowiązek zachowania poufności,
  • doradzanie administratorowi, podmiotom przetwarzającym, a także personelowi administratora w zakresie sposób przetwarzania danych osobowych zgodnie z RODO,
  •  zapewnienie przeszkolenia osób przetwarzających dane osobowe z obowiązków wynikających z RODO,
  •  nadzorowanie zgodności przetwarzania danych osobowych z RODO, w szczególności poprzez przeprowadzanie audytów i opracowywanie sprawozdań z zaleceniami dla administratora danych,
  • monitorowanie polityk bezpieczeństwa danych osobowych oraz podziału obowiązków u administratora,
  • uwzględnianie ryzyka związanego z operacjami przetwarzania, tzn. charakteru, zakresu, kontekstu i celi przetwarzania, w wypełnianiu swoich obowiązków,
  • wspieranie administratora danych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych, szacowaniu ryzyka dla ochrony danych, ocenie skutków dla ochrony danych, prowadzeniu rejestru czynności oraz kategorii przetwarzania danych, powierzaniu, udostępnianiu, współadministrowaniu danych.

Zakres obowiązków administratora danych wynikający z RODO

  • zapewnia, by inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
  • wspiera inspektora w wypełnianiu przez niego zadań, w tym zapewnia mu niezbędne zasoby oraz dostęp do danych osobowych i operacji przetwarzania,
  • zapewnia zasoby niezbędne do utrzymania wiedzy fachowej inspektora,
  • zapewnia, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania przez niego zadań,
  • jeżeli inspektor ma także inne zadania, zapewnia aby nie kolidowały one z zadaniami wynikającymi z przepisów o ochronie danych osobowych,
  • zawiadamianie organu nadzorczego, a także osób, których naruszenie dotyczy (o ile ma to zastosowanie przy naruszeniu) o naruszeniu dla ochrony danych,
  • przeprowadzanie działań wyjaśniających oraz naprawczych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych,
  • szacowanie ryzyka dla ochrony danych,
  • przeprowadzanie oceny skutków dla ochrony danych,
  • prowadzenie rejestru czynności oraz kategorii przetwarzania danych,
  • powierzanie, udostępnianie, współadministrowanie danych osobowych,
  • zawiadamianie organu nadzorczego o wyznaczeniu/zmianie/odwołaniu inspektora,
  • wdrażanie działań naprawczych, w tym zaleceń inspektora.

I tutaj muszę napisać, że niestety bardzo często administratorzy danych wpisują inspektorowi ochrony danych swoje obowiązki w jego zakres zadań. To nie jest już kwestia odpowiedzialności (w końcu inspektor nie może być karany ani odwoływany za realizację swoich działań), ale niskiej świadomości administratora, który nie zdaje sobie sprawy, że nawet jeżeli spróbuje na kogoś przerzucić umownie swoje obowiązki, to nadal ponosi odpowiedzialność za ich realizację. W szczególności ponosi odpowiedzialność za ich niezrealizowanie, co w wielu przypadkach będzie miało miejsce, bo inspektor nie może nadzorować, zalecać, a następnie wdrażać swoich zaleceń. Jeżeli inspektor ma w zakresie obowiązków realizację zadań administratora danych, to tak naprawdę, już na starcie nie zostały przez administratora wypełnione obowiązki wynikające z art. 38 RODO, tzn. zapewnienie mu niezależności oraz narzędzi do pracy. Inspektor bardzo często zaleca zakup szaf lub oprogramowania. Jeżeli wpisano mu w obowiązki zapewnienie zgodności przetwarzania danych z RODO, wówczas powinien być uprawniony do zlecenia i realizacji tego zakupu. W praktyce najczęściej jest to niemożliwe, zatem taki zapis w jego zakresie obowiązków jest niezgodny z RODO.

Podobnie często administrator powierza inspektorowi przeprowadzanie analizy ryzyka i ocenę skutków dla ochrony danych, podczas gdy przepisy wyraźnie wskazują, że jest to jego obowiązek, a inspektor powinien go jedynie wspierać w tym zakresie. Przeprowadzanie oceny skutków przez inspektora, najczęściej powinno skończyć się zaleceniem zrezygnowania z czynności przetwarzania, ponieważ jest to najskuteczniejsza metoda omijania ryzyka, jaką może on zalecić. Z punktu widzenia administratora, przetwarzanie może być niezbędne (np. działania marketingowe istotnie wpływają na sprzedaż), więc to w jego interesie i zakresie obowiązków jest ocena skutków, czyli ocena, czy działanie jest niezbędne i powinno być realizowane przy zastosowaniu odpowiednich działań minimalizujących ryzyko. Warto dodać, że inspektor może nie mieć wystarczającej wiedzy do przeprowadzenia skutecznej analizy ryzyka i oceny skutków. Jego wsparcie w szczególności polega na uzyskaniu niezbędnych informacji, usystematyzowaniu ich oraz sformalizowaniu. Na przykład analizę ryzyka mogą przeprowadzić przy jego wsparciu poszczególne komórki organizacyjne, a on dokonuje analizy całościowych wyników, na ich podstawie tworząc zbiorczą analizę ryzyka. Nie może usiąść za biurkiem i na podstawie tego co mu się wydaje “stworzyć analizę ryzyka”, ponieważ analiza jest wynikiem pewnego procesu myślowego, dokonanego przez pracowników, które powinno być udokumentowane. Punktem wyjścia do analizy może być przeprowadzenie audytu przez inspektora.

Podobnie przy ocenie skutków, jego rola sprowadza się do dyskusji z administratorem na temat procesu przetwarzania, opracowaniu zaleceń, a jeżeli administrator zgodzi się na ich wprowadzenie, oszacowanie ryzyka dla przetwarzania na nowych warunkach.

W ust. 2 pkt. 2 art. 36 a starej ustawy o ochronie danych osobowych (Dz.U. 2016 poz. 922) ustawodawca wskazał, jako jeden z obowiązków ABI (obecnie zastąpił go IOD) prowadzenie rejestru zbioru danych. Natomiast w art. 30 RODO wyraźnie wskazano, że rejestry czynności i kategorii przetwarzania prowadzi administrator danych. Inspektor może go wspierać w tych działaniach, jednak nie jest to jego obowiązek. W związku z tym, prowadzenie rejestru także nie może zostać “zrzucone” na inspektora. Ma on jednak w obowiązkach nadzorowanie dokumentacji bezpieczeństwa administratora, zatem w praktyce stworzenie rejestru wymaga zaangażowania administratora, który powinien uzyskać od personelu (np. poprzez ankiety) informacje niezbędne do stworzenia rejestru. Inspektor powinien przygotować odpowiednie tabele lub ankiety do wypełnienia, może także przeprowadzić szkolenie i rozmowy z pracownikami, aby zapewnić uzyskanie niezbędnych informacji. Jego nadzór będzie odbywał się poprzez audyty zgodności zapisów w rejestrze ze stanem rzeczywistym w danej komórce organizacyjnej. Dlaczego obowiązkiem inspektora nie może być stworzenie i prowadzenie rejestru? W praktyce tylko administrator danych a odpowiednie narzędzia i środki, aby uzyskać od wszystkich pracowników niezbędne informacje. Bez jego zaangażowania w proces, rejestr będzie jedynie efektem pracy twórczej inspektora, który nie do końca będzie zgodny ze stanem rzeczywistym. A przecież zgodnie z artykułem 5 RODO, administrator musi mieć pełną wiedzę o tym jakie dane przetwarza, więc rejestr jest mu niezbędny.

Dalszy ciąg materiału pod wideo

Należy pamiętać, że inspektor ochrony danych to osoba pełniąca rolę doradczą oraz nadzorczą. Jeżeli będzie zbyt mocno zaangażowana w same procesy przetwarzania, nie będzie w stanie skutecznie wspierać administratora danych. Rola inspektora w organizacji będzie rosła, tak jak rośnie rola informacji oraz danych osobowych w biznesie. Nim więcej dane są warte dla przedsiębiorcy, tym bardziej istotne będzie zapewnienie odpowiedniego wsparcia dla ochrony tych danych.

Polecamy serwis: Umowa o pracę

Powiązane
Ochrona danych osobowych kandydata do pracy w świetle RODO
Ochrona danych osobowych kandydata do pracy w świetle RODO
Badania lekarskie pracowników – zmiany RODO
Badania lekarskie pracowników – zmiany RODO
Pomieszczenia zakładowej organizacji związkowej bez monitoringu – zmiany RODO
Pomieszczenia zakładowej organizacji związkowej bez monitoringu – zmiany RODO
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Prawo
Umowa UE-Mercosur: poprawki przyjęte przez Parlament Europejski. Unijne normy jakości i bezpieczeństwa (w tym dot. pestycydów i antybiotyków) dla towarów importowanych z Ameryki Południowej
16 gru 2025

W dniu 16 grudnia 2025 r. na sesji plenarnej Parlamentu Europejskiego w Strasburgu został przegłosowany i przyjęty projekt rozporządzenia, dotyczący klauzul bezpieczeństwa do umowy handlowej Unii Europejskiej z państwami Mercosur, w których uwzględnione są kluczowe poprawki postulowane przez Polskę i z determinacją zgłaszane przez europosła Krzysztofa Hetmana.
Ten mandat w kodeksie wykroczeń rośnie 10-krotnie z 500 zł do 5000 zł, a grzywna rośnie 6-krotnie - zamiast 5000 zł będzie 30000 zł. Prezydent już podpisał nowelizację, zmiany wejdą w życie nieodwołalnie
16 gru 2025

Prezydent RP podpisał 15 grudnia 2025 r. nowelizację Kodeksu wykroczeń oraz Kodeksu postępowania w sprawach o wykroczenia. Nowe przepisy znacząco zaostrzają kary - grzywna wzrośnie nawet sześciokrotnie. Z katalogu sankcji zniknie też łagodna kara nagany. Natomiast mandat będzie można nałożyć w kwocie dziesięciokrotnie wyższej niż dotychczas.
Tykająca bomba w budżecie państwa zagrozi wypłatom np. 800 plus, 13 i 14 emerytury? Ekspert: prędzej, czy później eksploduje - dlatego trzeba coś zrobić z konstytucyjnym limitem zadłużenia
16 gru 2025

Polski budżet coraz mocniej odczuwa rekordowe wydatki na zbrojenia i programy socjalne. Dług publiczny w 2026 r. po raz pierwszy w historii III RP przekroczy 60% PKB. Jeśli ten kierunek nie ulegnie zmianie, rząd stanie przed dylematem: złamać Konstytucję czy obciąć wydatki o pół biliona złotych? A przy tak dużych cięciach wydatków nie są bezpieczne ani 800 plus, ani 13. i 14. emerytura - pisze Michał Ostrowski, ekspert Instytutu Podatków i Finansów Publicznych.
Tachografy w busach (DMC 2,5-3,5 tony) obowiązkowe od lipca 2026 r. Jest kilka wyjątków. Kara 12 tys. zł za brak nowoczesnego urządzenia G2V2
16 gru 2025

Za kilka miesięcy wchodzi w życie przełomowa zmiana dla sektora tzw. transportu lekkiego. Od 1 lipca 2026 roku busy o DMC 2,5-3,5 tony, które realizują międzynarodowy transport towarów, zostaną objęte obowiązkiem posiadania inteligentnych tachografów drugiej generacji (G2V2), a ich kierowców dotyczyć będą takie same przepisy w zakresie czasu pracy, jak kierowców ciężarówek. Celem jest poprawa bezpieczeństwa na drogach i zwiększenie konkurencyjności w branży. Eksperci podkreślają - by sprostać przepisom, potrzebne są nowe rozwiązania technologiczne, administracyjne i edukacyjne. Co czeka firmy, których floty bazują na busach?

REKLAMA

Podział majątku po rodzicach. Co musisz wiedzieć o podziale spadku po śmierci rodziców? Oto lista obowiązków, o których nie możesz zapomnieć
16 gru 2025

Po śmierci rodziców, sprawy spadkowe zazwyczaj wymagają formalnego uregulowania i podziału majątku między wszystkich prawnie uprawnionych. Bez znajomości procedur i praw, łatwo o konflikty rodzinne i nieporozumienia, dlatego kluczowe jest, aby od początku wiedzieć, jak postępować. Oto szczegóły.
Karta Dużej Rodziny 2026. Po zmianach więcej praw i przywilejów
16 gru 2025

Karta Dużej Rodziny to nie tylko zniżki w sklepach. Rodziny posiadające tan ważny dokument mogą przedstawić go również w urzędzie. Co daje karta w 2025 i 2026 roku? O jakich ważnych zmianach warto pamiętać?
Niepełnosprawni pokrzywdzeni przez NDSE. Boi się stopień umiarkowany. Boi się nawet znaczny
16 gru 2025

Paradoks ostatnich miesięcy. Osoby niepełnosprawne boją się NDSE. Zaskakuje, ale ten skrót nabrał złowrogiego znaczenia. Oznacza: "niezdolność do samodzielnej egzystencji". Obawy wynikają z tego, że system wspierania niepełnosprawności przesuwa się w kierunku przyznawania co cenniejszych świadczeń tylko tym niepełnosprawnym, którzy są niesamodzielni. Nie jest taką osobą niewidoma od urodzenia (bo ma sprawne ręce i nogi i może przy pomocy np. przewodnika pójść do sklepu i zrobić zakupy). Tak samo osoba niesłysząca (przez te ręce i nogi). Albo osoba z przerwanym rdzeniem kręgowym, ale siedząca na wózku aktywnym. Ma sprawne ręce (bez znaczenia, że nie ma sprawnych nóg). Te osoby nie otrzymają świadczeń opartych o kryterium niesamodzielności. Osoby niepełnosprawne widzą tu systemową dyskryminację. Boją się, że zostaną na "gołej" rencie i nędznym zasiłku pielęgnacyjnym 215,84 zł (brak podwyżki od 2019 r. do 2028 r.) I piszą listy do Infor.pl ze swoimi obserwacjami i obawami. Przykładowy list poniżej.
Nowa lista refundacyjna. Ministerstwo zdecydowało
15 gru 2025

Od 1 stycznia 2026 roku refundacją zostaną objęte 24 nowe terapie, w tym 9 onkologicznych i 8 przeznaczonych dla pacjentów z chorobami rzadkimi. Siedemnaście z nich trafi do programów lekowych, a siedem będzie dostępnych w refundacji aptecznej. „Nakłady na politykę lekową i refundację leków systematycznie wzrastają” – podkreśliła wiceminister zdrowia Katarzyna Kacperczyk, podsumowując zmiany w polityce lekowej na koniec roku.

REKLAMA

Właściciel zdejmuje i zabiera drzwi do wynajmowanego mieszkania, bo najemca nie płaci czynszu. Czy tak można legalnie pozbyć się nierzetelnego lokatora?
16 gru 2025

Wiadomo nie od dziś, że system eksmisyjny działa w Polsce źle. Nie są rzadkością: odległy termin wydania prawomocnego wyroku eksmisyjnego i długi czas przyznawania mieszkań socjalnych lub pomieszczeń tymczasowych. Dlatego wielu właścicieli mieszkań na wynajem w obliczu uciążliwego, niesolidnego najemcy popada w desperację. Czasem konflikty z lokatorami, którzy odmawiają wyprowadzki, mogą kończyć się dość nietypowo. Dwa miesiące temu, media społecznościowe obiegło zdjęcie mężczyzny, który deklarował, że w ramach pomocy swojej znajomej zabrał drzwi do mieszkania zasiedlonego przez zadłużoną lokatorkę. Takie niestandardowe rozwiązanie wzbudziło entuzjazm i rozbawienie dużej części internautów. Trzeba natomiast pamiętać, że jeśli lokator będzie odpowiednio zdeterminowany, to próby zabierania drzwi wejściowych lub podobnych działań, mogą skończyć się odpowiedzialnością karną. Wszystko za sprawą przepisów, które wprowadzono po doniesieniach o „czyścicielach kamienic”.
Przepisy nowej ustawy weszły w życie. To nie jest żadna rewolucja, choć niektórzy tak twierdzą. KEUZP jest już postrachem, choć jeszcze go nie ma
15 gru 2025

W ostatnim czasie niemal każdą zmianę przepisów określa się jako rewolucję. Zanim się przestraszymy, warto przyjrzeć się zakresowi wprowadzanych zmian i ocenić, jakie mogą być ich skutki. A te często okazują się znikome i niekoniecznie nas dotyczą.
Zapisz się na newsletter
Najlepsze artykuły, najpoczytniejsze tematy, zmiany w prawie i porady. Skoncentrowana dawka wiadomości z różnych kategorii: prawo, księgowość, kadry, biznes, nieruchomości, pieniądze, edukacja. Zapisz się na nasz newsletter i bądź zawsze na czasie.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA