Spis treści:
1. Kontrola działalności IOD – Lista 27 pytań
2. Nieprawidłowości w funkcjonowaniu IOD
3. Jakie zadania ma Inspektor Ochrony Danych?
W pewnych sytuacjach powołanie Inspektora Ochrony Danych (IOD) jest obowiązkiem Administratora. Czasem też Administrator decyduje się powołać IOD dobrowolnie jako fachowe wsparcie i pomoc w stosowaniu przepisów RODO. Okazuje się jednak, że niekiedy relacja Administratora i IOD nie przebiega prawidłowo, na co zwrócił uwagę Prezes Urzędu Ochrony Danych Osobowych (PUODO).
Kontrola działalności IOD – Lista 27 pytań
W celu dokonania sprawdzenia przestrzegania przepisów dot. działalności IOD, PUODO opublikował listę 27 pytań kierowanych do administratorów, zarówno z sektora prywatnego jak i publicznego. Lista stanowi narzędzie kontrolne służące urzędowi do weryfikacji prawidłowości funkcjonowania IOD w organizacji. Z drugiej strony lista może też stanowić wytyczne dla administratorów, służąc do celów wewnętrznego audytu zgodności z prawem działania w tym obszarze. Listę możecie znaleźć tutaj.
Nieprawidłowości w funkcjonowaniu IOD
W wyniku kontroli przeprowadzonych z wykorzystaniem ww. listy PUODO zidentyfikował następujące nieprawidłowości dotyczące funkcjonowania IOD:
- obciążanie IOD obowiązkami administratora, np. prowadzeniem rejestru czynności przetwarzania,
- nadmiarowe zawieranie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a IOD,
- udzielanie IOD pełnomocnictwa do reprezentowania administratora w sprawach z zakresu ochrony danych osobowych,
- łączenia usług „wdrożenia RODO” i „outsourcingu usług IOD” przez firmy zewnętrzne.
Główny problem związany z działalnością IOD sprowadzał się do wykonywania czynności w ramach tzw. konfliktu interesów i wyręczania administratora w wykonywaniu jego obowiązków. Administrator powoływał IOD i cedował na niego większość obowiązków administratora, co jest praktyką niedopuszczalną.
Jakie zadania ma Inspektor Ochrony Danych?
IOD zajmuje się m.in. doradzaniem administratorowi i instruowaniem go o spoczywającym na nim obowiązkach – udzielając niezbędnych rekomendacji i wytycznych. Do jego obowiązków należy także monitorowanie przestrzegania RODO w organizacji – w szczególności poprzez audyty oraz przeprowadzanie szkoleń. IOD pełni rolę punktu kontaktowego dla organu nadzorczego, z którym ma za zadanie współpracować. O tym, czym zajmuje się IOD i kiedy należy go powołać – pisaliśmy szczegółowo tutaj. Z całą pewnością IOD nie powinien być powoływany wyłącznie po to, aby powierzyć mu wywiązywanie się z obowiązków administratora i zapewnienie przestrzegania tychże obowiązków