Inspektor ochrony danych

  • STATUS I PRAWA INSPEKTORA OCHRONY DANYCH (IOD)
  • • Administrator Danych zapewnia by Inspektor Ochrony Danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
    • Administrator Danych zapewnia IOD zasoby niezbędne do wykonania zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej,
    • Administrator Danych zapewnia, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych wymienionych w pkt.2,
    • IOD nie może być odwołany ani karany przez Administratora Danych za wypełnianie zadań,
    • IOD podlega bezpośrednio najwyższemu kierownictwu Administratora Danych,
    • IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego,
    • IOD może wykonywać inne zadania i obowiązki. Administrator Danych zapewni, by takie zadania i obowiązki nie powodowały konfliktu interesów,

  • ZADANIA INSPEKTORA OCHRONY DANYCH MEMEX

  • • współpraca i obsługa punktu kontaktowy dla osób fizycznych, których dane dotyczą,
    • nadzór i koordynacja realizacji praw osób, których dane dotyczą,
    • doradztwo i opiniowanie w kwestiach dotyczących ochrony danych osobowych, w tym także opiniowani3 dokumentów wewnętrznych (proces legislacyjny), zewnętrznych (umów), nowych lub modyfikacji istniejących produktów (w ramach zarządzania zmianą) czy też pomoc w tworzeniu i zmiany systemów informatycznych,
    • przeprowadzania regularnych, planowanych kontroli, wynikających z funkcji IOD zgodnie z art. 39 RODO.
    • monitorowanie przestrzegania RODO oraz rejestrowanie wszelkich uchybień,
    • szkolenia pracowników wstępne i cykliczne z ochrony danych osobowych, jak również zapoznawanie pracowników z regulacjami wewnętrznymi organizacji o ochronie danych osobowych,
    • udział w ocenie skutków dla ochrony danych osobowych, udział w procesie zarządzania ryzykiem dot. danych osobowych, monitorowanie podjętych działań,
    • współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego,
    • analiza incydentów pod kątem naruszenia ochrony danych osobowych oraz zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych,
    • ciągłe dostosowywanie organizacji do nowych wytycznych, rekomendacji i dobrych praktyk dot. RODO, w tym informowanie organizacji o nowych wytycznych, rekomendacjach i dobrych praktykach dot. RODO, oraz wskazywanie właściwym jednostkom organizacyjnym na konieczność dostosowania się do nich oraz wspierać je w tym zakresie w ramach funkcji doradczej,
    • prowadzenie rejestrów czynności przetwarzania i nadawanie upoważnień do przetwarzania danych osobowych (jak również prowadzenie ewidencji osób upoważnionych),
    • przygotowywanie sprawozdań dla administratora,
    • stały nadzór merytoryczny nad procesami przetwarzania danych osobowych w organizacji.

  • ZAPEWNIENIA dotyczące kwalifikacji i doświadczenia audytorów MEMEX - Inspektorów Ochrony Danych (IOD)

  • • posiadanie wiedzy fachowej w zakresie krajowych i europejskich przepisów i praktyk w dziedzinie ochrony danych, w tym dogłębną znajomość RODO,
    • posiadanie wiedzy na temat przeprowadzanych operacji przetwarzania,
    • znajomość technologii informacyjnych i zasad bezpieczeństwa danych,
    • posiadanie ogólnej wiedzy na temat sektora, w którym prowadzona jest działalność gospodarcza, oraz na temat organizacji,
    • umiejętność promowania kultury ochrony danych w organizacji,
    • umiejętność oceny praktycznej zastosowania prawa w zakresie ochrony danych osobowych,
    • wiedzy dot. zarządzania ryzykiem (w tym także ryzyka systemów informatycznych),
    • postępowanie zgodnie z Kodeksem Etycznym IOD (audytorzy Memex są członkami Stowarzyszenia Administratorów Bezpieczeństwa Informacji )

  • IOD wg RODO
Ogólne rozporządzenie o ochronie danych (RODO) w art. 37 ust. 1 przewiduje obowiązek wyznaczenia inspektora ochrony danych dla administratorów i podmiotów przetwarzających wówczas, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

2. Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

3. Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.

4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

7. Administrator danych lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.