Zakres obowiązków IOD w umowie
W rozmowach z moimi znajomymi, pełniącym obowiązki Inspektorów, często przewija się temat zadań, jakie powinien wykonywać inspektor, a tym czego oczekuje administrator danych i co próbuje zamieścić w umowie z Inspektorem. Rozbieżność w oczekiwaniach obu stron jest duża, a jej główną przyczyną często jest to, że administrator chciałby zapłacić komuś, aby wziął na siebie „problem RODO” i nie zawracać sobie tym tematem głowy, a także fakt, że przed RODO zakres obowiązków ówczesnego ABI wynikający z obowiązujących wówczas przepisów był szerszy, niż obecnie. Polski ustawodawca uczynił ABI wykonawcą wielu obowiązków, które na mocy RODO należą do administratora danych. Osoby, które z ABI stały się IOD, stanęły przed dylematem, jak działać „po nowemu”.
Ponieważ pojawiła się potrzeba, aby spisać obowiązki inspektora, które będzie można wpisać w umowie z nim, postanowiłam zrobić ten wpis. Tutaj warto podkreślić, że zakres obowiązków administratora został podany także, dlatego żeby było wiadomo, jak te obowiązki nie powinny brzmieć.
Zakres obowiązków IOD wynikający z RODO
- powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
- jest punktem kontaktowym dla osób, których dane dotyczą w sprawach dotyczących ich danych,
- jest punktem kontaktowym dla organu nadzorczego w sprawach, które dotyczą przetwarzania danych przez administratora danych,
- ma ustawowy obowiązek zachowania poufności,
- doradzanie administratorowi, podmiotom przetwarzającym, a także personelowi administratora w zakresie sposób przetwarzania danych osobowych zgodnie z RODO,
- zapewnienie przeszkolenia osób przetwarzających dane osobowe z obowiązków wynikających z RODO,
- nadzorowanie zgodności przetwarzania danych osobowych z RODO, w szczególności poprzez przeprowadzanie audytów i opracowywanie sprawozdań z zaleceniami dla administratora danych,
- monitorowanie polityk bezpieczeństwa danych osobowych oraz podziału obowiązków u administratora,
- uwzględnianie ryzyka związanego z operacjami przetwarzania, tzn. charakteru, zakresu, kontekstu i celi przetwarzania, w wypełnianiu swoich obowiązków,
- wspieranie administratora danych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych, szacowaniu ryzyka dla ochrony danych, ocenie skutków dla ochrony danych, prowadzeniu rejestru czynności oraz kategorii przetwarzania danych, powierzaniu, udostępnianiu, współadministrowaniu danych.