Jakie obowiązki IOD można wpisać w umowie?

Zakres obowiązków IOD w umowie

W rozmowach z moimi znajomymi, pełniącym obowiązki Inspektorów, często przewija się temat zadań, jakie powinien wykonywać inspektor, a tym czego oczekuje administrator danych i co próbuje zamieścić w umowie z Inspektorem. Rozbieżność w oczekiwaniach obu stron jest duża, a jej główną przyczyną często jest to, że administrator chciałby zapłacić komuś, aby wziął na siebie “problem RODO” i nie zawracać sobie tym tematem głowy, a także fakt, że przed RODO zakres obowiązków ówczesnego ABI wynikający z obowiązujących wówczas przepisów był szerszy, niż obecnie. Polski ustawodawca uczynił ABI wykonawcą wielu obowiązków, które na mocy RODO należą do administratora danych. Osoby, które z ABI stały się IOD, stanęły przed dylematem, jak działać “po nowemu”.

Zakres obowiązków IOD wynikający z RODO

• powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
• jest punktem kontaktowym dla osób, których dane dotyczą w sprawach dotyczących ich danych,
• jest punktem kontaktowym dla organu nadzorczego w sprawach, które dotyczą przetwarzania danych przez administratora danych,
• ma ustawowy obowiązek zachowania poufności,
• doradzanie administratorowi, podmiotom przetwarzającym, a także personelowi administratora w zakresie sposób przetwarzania danych osobowych zgodnie z RODO,
•  zapewnienie przeszkolenia osób przetwarzających dane osobowe z obowiązków wynikających z RODO,
•  nadzorowanie zgodności przetwarzania danych osobowych z RODO, w szczególności poprzez przeprowadzanie audytów i opracowywanie sprawozdań z zaleceniami dla administratora danych,
• monitorowanie polityk bezpieczeństwa danych osobowych oraz podziału obowiązków u administratora,
• uwzględnianie ryzyka związanego z operacjami przetwarzania, tzn. charakteru, zakresu, kontekstu i celi przetwarzania, w wypełnianiu swoich obowiązków,
• wspieranie administratora danych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych, szacowaniu ryzyka dla ochrony danych, ocenie skutków dla ochrony danych, prowadzeniu rejestru czynności oraz kategorii przetwarzania danych, powierzaniu, udostępnianiu, współadministrowaniu danych.

Zakres obowiązków administratora danych wynikający z RODO

• zapewnia, by inspektor był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
• wspiera inspektora w wypełnianiu przez niego zadań, w tym zapewnia mu niezbędne zasoby oraz dostęp do danych osobowych i operacji przetwarzania,
• zapewnia zasoby niezbędne do utrzymania wiedzy fachowej inspektora,
• zapewnia, aby inspektor nie otrzymywał instrukcji dotyczących wykonywania przez niego zadań,
• jeżeli inspektor ma także inne zadania, zapewnia aby nie kolidowały one z zadaniami wynikającymi z przepisów o ochronie danych osobowych,
• zawiadamianie organu nadzorczego, a także osób, których naruszenie dotyczy (o ile ma to zastosowanie przy naruszeniu) o naruszeniu dla ochrony danych,
• przeprowadzanie działań wyjaśniających oraz naprawczych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych,
• szacowanie ryzyka dla ochrony danych,
• przeprowadzanie oceny skutków dla ochrony danych,
• prowadzenie rejestru czynności oraz kategorii przetwarzania danych,
• powierzanie, udostępnianie, współadministrowanie danych osobowych,
• zawiadamianie organu nadzorczego o wyznaczeniu/zmianie/odwołaniu inspektora,
• wdrażanie działań naprawczych, w tym zaleceń inspektora.