Inspektor Ochrony Danych, zwany potocznie skrótem IOD, jest to osoba wspierająca administratora danych osobowych w wykonywaniu nałożonych na niego obowiązków, czuwająca na tym, aby przetwarzanie odbywało się zgodnie z przepisami. W zdecydowanej większości przypadków jego powołanie w organizacji nie jest konieczne i administrator danych ma dowolność co do tego, czy powołać Inspektora, czy też samemu przyjąć realizację wyznaczonych dla niego zadań.
Przepisy RODO precyzują, że do obowiązków IOD należy:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów;
- doradzanie ww. podmiotom w sprawie wypełniania nałożonych na nie obowiązków;
- monitorowanie przestrzegania przepisów i przyjętych polityk z zakresu ochrony danych osobowych;
- podejmowanie zwiększające świadomość osób z zakresu ochrony danych osobowych;
- szkolenia personelu uczestniczącego w operacjach przetwarzania danych osobowych;
- przeprowadzanie audytów zgodności z prawem przetwarzania danych osobowych;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych i monitorowanie jej wykonania;
- współpraca z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym uprzednimi konsultacjami oraz prowadzenie konsultacji w innych sprawach.
Dodatkowo, jak wynika z treści przepisów stanowiących o obowiązku informacyjnym administratora, osoby których dane dotyczą mogą kontaktować się z Inspektorem we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem przysługujących im praw. Administrator może również powierzyć Inspektorowi inne obowiązki, takie jak prowadzenie dokumentacji dotyczącej ochrony danych osobowych, w tym prowadzenie i aktualizację odpowiednich rejestrów, np. rejestru kategorii czynności przetwarzania.
O ile, jak wskazaliśmy, co do zasady powołanie IOD jest pozostawione swobodnemu uznaniu administratora, w pewnych sytuacjach powołanie Inspektora jest obowiązkowe. Dotyczy to przypadków, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych szczególnych kategorii lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Niezależnie od tego, czy powołanie IOD jest w danym przypadku obowiązkowe, czy też nie, warto zaznaczyć, że wbrew dość powszechnemu przekonaniu, powołanie IOD nie zwalnia administratora z odpowiedzialności za realizację przepisów dotyczących ochrony danych osobowych. Odpowiedzialność ta w dalszym ciągu spoczywa na administratorze.