Powołanie Inspektora Ochrony Danych w wielu organizacjach nie jest wyborem, lecz obowiązkiem prawnym. Jednocześnie IOD musi być niezależny, kompetentny i stale dostępny — a nie może pozostawać w konflikcie interesów z własnym pracodawcą. Dlatego coraz więcej firm i instytucji publicznych powierza tę funkcję wyspecjalizowanemu podmiotowi zewnętrznemu.
Pełnimy funkcję IOD na podstawie stałej umowy — z odpowiedzialnością zawodową radcy prawnego, obowiązkowym ubezpieczeniem OC i doświadczeniem akademickim w prawie ochrony danych.
Kiedy powołanie IOD jest obowiązkowe
Obowiązek wyznaczenia Inspektora Ochrony Danych wynika z art. 37 ust. 1 RODO i dotyczy trzech sytuacji:
- przetwarzania dokonuje organ lub podmiot publiczny — z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób na dużą skalę;
- główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (art. 9 RODO — m.in. dane o zdrowiu, dane biometryczne) lub danych dotyczących wyroków skazujących (art. 10 RODO).
W praktyce obowiązek ten najczęściej dotyczy:
- placówek medycznych — przychodni, szpitali, klinik, laboratoriów diagnostycznych (dane o zdrowiu na dużą skalę),
- szkół, przedszkoli i uczelni (podmioty publiczne; dane dzieci),
- jednostek samorządu terytorialnego i ich jednostek organizacyjnych,
- firm e-commerce i marketingowych stosujących profilowanie, remarketing i analitykę zachowań na dużą skalę,
- podmiotów z branży finansowej i ubezpieczeniowej,
- agencji pracy i firm HR przetwarzających dane kandydatów i pracowników w dużej skali,
- operatorów monitoringu wizyjnego obejmującego przestrzeń publiczną lub dużą liczbę osób.
Warto pamiętać: nawet gdy powołanie IOD nie jest obowiązkowe, organizacja może wyznaczyć go dobrowolnie. Wówczas jednak stosuje się do niego te same wymogi RODO — dotyczące niezależności, zasobów i braku konfliktu interesów. Nie istnieje „IOD na pół etatu, po godzinach”.
Co robi zewnętrzny Inspektor Ochrony Danych
Zakres zadań IOD wyznacza art. 39 RODO. W ramach stałej współpracy zewnętrzny IOD:
- informuje i doradza — administratorowi, podmiotowi przetwarzającemu i pracownikom w sprawach obowiązków wynikających z RODO i innych przepisów o ochronie danych,
- monitoruje przestrzeganie przepisów oraz wewnętrznych polityk ochrony danych, w tym prowadzi cykliczne audyty i przeglądy zgodności,
- wspiera podział obowiązków i podnoszenie świadomości — prowadzi szkolenia personelu uczestniczącego w operacjach przetwarzania,
- doradza przy ocenie skutków dla ochrony danych (DPIA) i monitoruje jej wykonanie zgodnie z art. 35 RODO,
- współpracuje z Prezesem UODO i pełni funkcję punktu kontaktowego dla organu nadzorczego,
- jest punktem kontaktowym dla osób, których dane dotyczą — we wszystkich sprawach związanych z przetwarzaniem ich danych i wykonywaniem przysługujących im praw,
- uczestniczy w obsłudze naruszeń ochrony danych — od oceny ryzyka po przygotowanie zgłoszenia do UODO.
W ramach współpracy zapewniamy również bieżące konsultacje (telefonicznie i mailowo), opiniowanie umów powierzenia i klauzul informacyjnych oraz okresowe raportowanie stanu zgodności do zarządu.
IOD wewnętrzny czy zewnętrzny — co wybrać
| |
IOD wewnętrzny (pracownik) |
IOD zewnętrzny (outsourcing) |
| Koszt |
wynagrodzenie etatowe + szkolenia + zastępstwa |
stały, przewidywalny abonament miesięczny |
| Kompetencje |
trzeba zbudować i stale aktualizować |
dostępne od pierwszego dnia współpracy |
| Konflikt interesów |
realne ryzyko (art. 38 ust. 6 RODO) |
wykluczony strukturalnie |
| Ciągłość funkcji |
urlopy, zwolnienia, rotacja kadr |
zapewniona umownie |
| Niezależność |
podległość służbowa utrudnia niezależność |
pełna — IOD nie podlega nikomu w strukturze klienta |
Na ryzyko konfliktu interesów warto zwrócić szczególną uwagę. Zgodnie z art. 38 ust. 6 RODO zadania IOD nie mogą powodować konfliktu interesów — co w praktyce wyklucza łączenie tej funkcji ze stanowiskami, na których podejmuje się decyzje o celach i sposobach przetwarzania. Dotyczy to w szczególności dyrektora IT, kierownika działu HR, członka zarządu czy kierownika jednostki — a więc dokładnie tych osób, którym w praktyce najczęściej powierza się funkcję IOD „przy okazji”. Europejskie organy nadzorcze nakładały już kary za takie połączenia ról.
Dlaczego radca prawny jako IOD
Większość podmiotów oferujących outsourcing IOD to firmy konsultingowe. Powierzenie tej funkcji radcy prawnemu daje organizacji dodatkowe gwarancje, których model konsultingowy nie zapewnia:
Odpowiedzialność zawodowa i dyscyplinarna. Radca prawny wykonuje zawód zaufania publicznego — podlega zasadom etyki zawodowej i odpowiedzialności dyscyplinarnej przed samorządem radcowskim. Za jakością usługi stoi nie tylko umowa, ale cały system odpowiedzialności zawodowej.
Obowiązkowe ubezpieczenie OC. Każdy radca prawny objęty jest obowiązkowym ubezpieczeniem odpowiedzialności cywilnej za szkody wyrządzone przy wykonywaniu zawodu. To realne zabezpieczenie interesów klienta.
Warsztat prawniczy, nie tylko proceduralny. Ochrona danych osobowych to dziedzina prawa — a spory z nią związane toczą się przed organem nadzorczym i sądami administracyjnymi. Znajomość procedury administracyjnej, umiejętność kwalifikacji prawnej i doświadczenie w wykładni przepisów mają bezpośrednie przełożenie na jakość pracy IOD: od oceny podstaw prawnych przetwarzania po decyzję, czy naruszenie podlega zgłoszeniu.
Zaplecze naukowe. Funkcję IOD pełni radca prawny z tytułem doktora nauk prawnych i doświadczeniem wykładowcy akademickiego — co oznacza bieżącą znajomość orzecznictwa, wytycznych EROD i decyzji Prezesa UODO.
Uwaga praktyczna: zakres łączenia funkcji IOD z innymi usługami prawnymi na rzecz tej samej organizacji ustalamy indywidualnie — tak, aby wykluczyć konflikt interesów, o którym mowa w art. 38 ust. 6 RODO.
Jak wygląda współpraca
Krok 1 — Bezpłatna rozmowa wstępna. Ustalamy, czy w Twojej organizacji powołanie IOD jest obowiązkowe, jaka jest skala i charakter przetwarzania oraz jakie są oczekiwania wobec współpracy.
Krok 2 — Audyt otwarcia. Przed objęciem funkcji przeprowadzamy przegląd stanu ochrony danych: dokumentacji, procesów, umów powierzenia i zabezpieczeń. Audyt kończy się raportem z listą działań do podjęcia — to punkt startowy współpracy i zabezpieczenie dla obu stron.
Krok 3 — Powołanie i zawiadomienie Prezesa UODO. Przygotowujemy dokumenty wyznaczenia IOD i dokonujemy zawiadomienia Prezesa UODO w trybie przewidzianym w ustawie o ochronie danych osobowych. Dane kontaktowe IOD publikowane są zgodnie z wymogami RODO.
Krok 4 — Bieżące pełnienie funkcji. Stały nadzór nad zgodnością, konsultacje dla zarządu i pracowników, obsługa żądań osób, których dane dotyczą, udział w obsłudze naruszeń, cykliczne przeglądy i szkolenia oraz okresowe raportowanie do kierownictwa.
Ile kosztuje outsourcing IOD
Współpraca rozliczana jest w modelu stałego abonamentu miesięcznego, którego wysokość zależy od skali i charakteru przetwarzania danych w organizacji — innej wyceny wymaga niewielka spółka usługowa, innej podmiot leczniczy czy jednostka publiczna z rozbudowaną strukturą.
Wycenę przygotowujemy po rozmowie wstępnej. Abonament obejmuje pełen zakres zadań IOD określony w art. 39 RODO — bez rozliczania każdej konsultacji osobno.
Najczęstsze pytania
Czy mała firma też musi powołać IOD?
O obowiązku nie decyduje wielkość firmy, lecz charakter i skala przetwarzania. Kilkuosobowa placówka medyczna może podlegać obowiązkowi, a kilkusetosobowa firma produkcyjna — nie. Każdy przypadek wymaga indywidualnej oceny, którą przeprowadzamy podczas bezpłatnej rozmowy wstępnej.
Czy zewnętrzny IOD ponosi odpowiedzialność za naruszenia ochrony danych?
Odpowiedzialność administracyjna za zgodność przetwarzania z RODO spoczywa na administratorze — IOD pełni funkcję doradczą i monitorującą, a nie decyzyjną. Zewnętrzny IOD odpowiada natomiast kontraktowo za należyte wykonywanie swoich zadań, a radca prawny dodatkowo — zawodowo i z tytułu obowiązkowego ubezpieczenia OC.
Czy IOD musi być fizycznie obecny w siedzibie firmy?
Nie. RODO wymaga, by IOD był łatwo dostępny — dla pracowników, osób, których dane dotyczą, i organu nadzorczego. W praktyce funkcja wykonywana jest zdalnie, z wizytami w siedzibie w ustalonym cyklu oraz zawsze wtedy, gdy wymaga tego sytuacja (np. incydent, kontrola).
Jak szybko można powołać zewnętrznego IOD?
Samo powołanie i zawiadomienie Prezesa UODO to kwestia kilku dni. Pełne objęcie funkcji poprzedza audyt otwarcia, którego czas zależy od wielkości organizacji.
Co grozi za brak IOD mimo obowiązku jego powołania?
Niewyznaczenie IOD wbrew obowiązkowi może skutkować administracyjną karą pieniężną na podstawie art. 83 ust. 4 RODO — do 10 mln euro lub 2% całkowitego rocznego światowego obrotu. Prezes UODO nakładał już w Polsce kary związane z nieprawidłowościami dotyczącymi IOD.
Nie wiesz, czy Twoja organizacja musi powołać IOD? Pierwsza rozmowa jest bezpłatna i niezobowiązująca — ustalimy, czy obowiązek Cię dotyczy i jak najsprawniej go wypełnić.