Dotychczasowy Administrator Bezpieczeństwa Informacji (ABI) został zastąpiony 25 maja tego roku przez Inspektora Ochrony Danych (IOD). RODO zmieniło nie tylko nazwę tej funkcji, ale także wymagania wobec osoby, która miałaby ją pełnić w organizacji oraz rozszerzyła zakres jej obowiązków. Wyznaczenie IOD jest obowiązkowe w wybranych sytuacjach jasno określonych w europejskim rozporządzeniu. Co warto wiedzieć o tej ewolucji oraz jak ją przeprowadzić w firmie we właściwy sposób – tłumaczy ekspert z ODO 24.
Powołanie i zadania inspektora
Obowiązek wyznaczenia IOD określony został w art. 37 ust. 1 RODO. Warto również zauważyć, że na podstawie art. 37 ust 7 RODO podmiot powołujący IOD zawiadamiania Prezesa Urzędu Ochrony Danych Osobowych, nowy organ nadzorczy, o szczegółach kontaktowych inspektora. Ponadto zgodnie z art. 11 nowe ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. podmiot wyznaczający IOD podaje jego dane kontaktowe na swojej stronie internetowej lub w sposób ogólnie dostępny w miejscu prowadzenia działalności.
IOD ma być wyznaczany na podstawie kwalifikacji, wiedzy i doświadczenia. Funkcję tę będzie mogła pełnić zarówno osoba z personelu administratora, jak też zewnętrzna firma wykonująca zadania na podstawie umowy o świadczenie usług – mówi adw. Łukasz Pociecha, ekspert ds. ochrony danych, ODO 24. ABI był powoływany jedynie fakultatywnie przez organizacje, które przetwarzały dane osobowe. Na gruncie obecnych przepisów wyznaczanie IOD jest obowiązkowe w ściśle określonych sytuacjach, zarówno dla administratorów danych jak i procesorów, czyli podmiotów, które przetwarzają dane w imieniu tego administratora. Może to stanowić dużą zmianę w kontekście rozwiązań kadrowych w organizacjach – dodaje adw. Łukasz Pociecha z ODO 24.
Podmiot powołujący IOD–a jest zobowiązany do jego włączania we wszystkie bieżące sprawy dotyczące bezpieczeństwa danych. Inspektor stał się również na mocy RODO punktem kontaktowym dla osób, których dane osobowe przetwarza firma oraz dla samego organu nadzorczego.
Zgłoszenie IOD
Administrator w terminie 14 dni od wyznaczenia inspektora powinien zawiadomić Prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu. Wynika to wprost z art. 10 ust. 1 nowej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r . W zawiadomieniu powinien uwzględnić takie niezbędne elementy jak imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD.
Co istotne, nowa ustawa o ochronie danych osobowych w swych przepisach przejściowych, przewiduje, że osoby pełniące 24 maja 2018 r. funkcję ABI z dniem 25 maja 2018 r. automatycznie stają się IOD i będą pełnić swoją rolę do 1 września 2018 r., chyba że zostaną one odwołane przed tą datą lub przed tym dniem administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na IOD, w sposób określony w art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych – mówi Łukasz Pociecha z ODO 24.
Zgodnie z nową ustawą o ochronie danych osobowych, zawiadomienia o wyznaczeniu IOD należy dokonać poprzez internet i opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Pomocne w tym celu dla każdego przedsiębiorcy będą odpowiednie formularze umieszczone na oficjalnej stronie Urzędu Ochrony Danych Osobowych.
Wszystkie podmioty, które przed 25 maja 2018 r. nie powołały ABI, a są obciążone takim obowiązkiem, mają na to czas do 31 lipca 2018 r. (art. 158 ust. 4 nowej ustawy o ochronie danych osobowych). Taki sam termin mają one na zawiadomienie Prezesa Urzędu o wyznaczeniu inspektora. To samo dotyczy procesorów tj. podmiotów przetwarzających dane na rzecz administratora danych, które to zobowiązane są na gruncie nowych przepisów do powołania IOD (art. 158 ust. 5 przywołanej w zdaniu poprzednim ustawy).
