Tak, działania inspektora ochrony danych w przedstawionym zakresie są dopuszczalne, o ile zmierzają do weryfikacji prawidłowości procesów przetwarzania danych osobowych.
Art. 39 ust. 1 RODO wskazuje m.in. na następujące główne zadania inspektora:
informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich i doradzanie im w tej sprawie;
monitorowanie przestrzegania przepisów o ochronie danych oraz polityk administratora;
udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
współpraca z organem nadzorczym, w tym pełnienie funkcji punktu kontaktowego dla organu nadzorczego.
Aby IOD mógł być w stanie wykonywać swoje zadania administrator:
zapewnia by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (art. 38 ust. 1 RODO);
wspiera IOD w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
Prawidłowo umocowany IOD powinien więc mieć dostęp do wszystkich lokalizacji, dokumentów, informacji i osób związanych z przetwarzaniem danych osobowych.
Powyższe oznacza, że IOD może dokonywać doraźnych sprawdzeń, rozumianych jako zapoznanie się z tym jak dany pracownik przetwarza dane osobowe, czy nie ma ryzyka wycieku, czy przestrzega regulacji wewnętrznych itd. Poza tym inspektor może mieć wgląd w dokumentacji pracowniczej jeśli podejrzewa, że gromadzi się w nich nadmierne dane; nie różni się to niczym od dostępu IOD do innych dokumentów z danymi osobowymi. IOD może też przeglądać skrzynki elektroniczne pracowników, ale nie celem ustalenia czy wykorzystywane są do celów służbowych (w kompetencjach IOD nie leżą uprawnienia z zakresu zarządzania zasobami ludzkim, w tym nadzór nad pracownikiem), bowiem przegląd może mieć na celu jedynie analizę czy dochodzi do wycieku danych osobowych poza organizację.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl