Inspektor Ochrony Danych
RODO w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych dla administratorów i podmiotów przetwarzających w przypadkach:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (zamknięty katalog organów i podmiotów publicznych został wskazany w art. 9 UODO); lub
- główna działalność Administratora / Podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność Administratora / Podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.
Z art. 37 ust. 5 RODO, wynika: „inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39”.
Natomiast zgodnie z art. 37 ust. 5 RODO kryteriami wyboru IOD-a są: kwalifikacje zawodowe oraz umiejętność wypełniania zadań wynikających z RODO. Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.
IOD powinien posiadać:
- fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych;
- fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych;
- dogłębną znajomość przepisów RODO;
- wiedzę biznesową i sektorową dotycząca działalności administratora;
- odpowiednią wiedzę na temat procesów przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych;
- w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki.
W odniesieniu do powyższych wymagań gwarantujemy, iż jako IOD pełnimy rolę koordynatora, specjalista, eksperta oraz menedżera ochrony danych osobowych. To co wyróżnia nas spośród pozostałych firm jest to, że posiadamy długoletnie doświadczenie z zakresu sprzętu komputerowego, audytów oprogramowania i systemów zabezpieczeń informatycznych. Podnoszenie fachowej wiedzy zarówno RODO jak i informatycznej jest dla nas kluczowe dla bezpiecznego funkcjonowania systemu ochrony danych osobowych.
Zadania IOD
Prowadzimy kompleksową, rozszerzoną funkcję IOD, który wypełnia zadania obligatoryjne i fakultatywne:
|
Zadania obligatoryjne |
Zadania fakultatywne lista potencjalnych nieobowiązkowych zadań IOD |
|
Informowanie: · Informowanie Administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających oraz udzielanie porad pracownikom w zakresie ochrony danych osobowych do realizacji ich obowiązków służbowych. · Pomoc w dostosowaniu, doborze lub zmianie oprogramowania do przetwarzania danych osobowych, aby spełniało wymagania Rozporządzenia 2016/679 · Współpraca z Działem Informatycznym w zakresie definiowania zabezpieczeń. · Opiniowanie formalnych zasad współpracy z podmiotami zewnętrznymi, w szczególności przy zawieraniu umów o poufności oraz umów powierzenia przetwarzania danych osobowych. · Doradztwo w sytuacjach występowania naruszenia lub incydentów bezpieczeństwa oraz sporach, wsparcie w opanowaniu kryzysów (np. kradzież, wyciek, upublicznienie danych, skargi), wsparcie prawidłowej komunikacji w kontaktach z policją, prasą, poszkodowanymi i innymi zainteresowanymi instytucjami. · Opiniowanie dokumentów Zleceniodawcy pod kątem zgodności z wymogami obowiązujących przepisów o ochronie danych (np. klauzule zgody, poufności, informacyjne, treści mailingu). · Rekomendowanie mechanizmów takich jak zapewnienie ochrony danych osobowych na etapie projektowania oraz domyślnej ochrony danych („privacy by design” oraz „privacy by default”), zarówno przed przystąpieniem do przetwarzania danych, jak i w czasie prowadzonego przetwarzania. · Przeprowadzanie analizy ryzyka, jeśli to wymagane oraz pomoc w wyznaczaniu zabezpieczeń organizacyjno-technicznych oraz rekomendowanie wdrażania tych zabezpieczeń przez Zleceniodawcę.
Monitorowanie: · Przeprowadzanie rocznych audytów zgodności przetwarzania danych osobowych z Rozporządzeniem 2016/679 i innymi przepisami o ochronie danych osobowych, sporządzanie sprawozdania z audytu i przedkładanie go Zleceniodawcy. · Przeprowadzanie, jeśli to uzasadnione, audytów bezpieczeństwa danych osobowych w Podmiotach przetwarzających, którym Zleceniodawca powierzył dane do przetwarzania. · Rekomendowanie aktualizacji dokumentacji (opracowanie nowej, jeśli jest to niezbędne) zgodnie z wymogami Rozporządzenia 2016/679 i przeprowadzaną analizą ryzyka. · Opiniowanie pisemnych oświadczeń/klauzul poufności dla pracowników i podwykonawców, przygotowywanie imiennych upoważnień do przetwarzania danych osobowych. · Opiniowanie ewidencji osób upoważnionych do przetwarzania danych osobowych. · Przeprowadzanie szkoleń dla wszystkich pracowników z zasad Rozporządzenia 2016/679 lub zapoznanie osób z Politykami ochrony danych i Regulaminem ODO. · Formułowanie wniosków do Zleceniodawcy, dotyczących poprawy bezpieczeństwa danych osobowych, w szczególności rekomendowanie wdrożenia zabezpieczeń wymagających decyzji zakupowych (np. zakup potrzebnego sprzętu). · Opiniowanie rejestru czynności lub/i rejestru kategorii czynności. · Identyfikacja przesłanek legalizujących przetwarzanie danych osobowych (art. 6 i 9 Rozporządzenia 2016/679), a w przypadku stwierdzenia uchybień, pomoc w przywróceniu stanu zgodnego z prawem.
Kontakt: · Współpraca z organem nadzorczym oraz reprezentowanie Administratora w kontaktach z Urzędem Ochrony Danych Osobowych. · Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach, w szczególności udzielanie niezbędnych informacji i prowadzenie korespondencji z Prezesem Urzędu Ochrony Danych Osobowych, zarówno w trybie administracyjnym, jak i podczas kontroli. · Pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących tym osobom na mocy RODO
|
· prowadzenie rejestru czynności przetwarzania oraz ewentualnie rejestru kategorii czynności przetwarzania (u Podmiotu przetwarzającego); · ocena, czy istnieje w danym stanie faktycznym wymóg zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu; · ocena, czy istnieje w danym stanie faktycznym wymóg zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych osobowych; · prowadzenie rejestru powierzeń oraz rejestru udostępnień danych osobowych (oraz zawartych w tym zakresie umów); · prowadzenie rejestru upoważnień do przetwarzania danych osobowych; · opiniowanie nowych projektów biznesowych pod kątem zgodności z zasadami: privacy by design oraz privacy by default; · przygotowywanie lub opiniowanie umów powierzenia, klauzul informacyjnych oraz klauzul zgód; · nadawanie i kontrola w imieniu Administratora / Podmiotu przetwarzającego dostępu do danych osobowych; · testowanie, mierzenie oraz ocena skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania; · ocena (zgodności i aktualności) przyjętych procedur i rejestrów pod kątem spełnienia wymogu rozliczalności; · ocena spełnienia wymogu ograniczenia przechowywania danych osobowych (w ramach procedury retencji danych). |