Czy będzie można wyznaczyć zastępców inspektora ochrony danych

Piotr Glen

Autor: Piotr Glen

Dodano: 1 września 2017
Czy będzie można wyznaczyć zastępców inspektora ochrony danych
Pytanie:  W ogólnym rozporządzeniu o ochronie danych nie ma przepisu, który wskazywałby, że administrator danych może wyznaczyć zastępców inspektora ochrony danych. Czy można rozumieć jednak, że przepisy nie zabraniają, by tacy zastępcy zostali powołani? Jak zgodnie z rodo można zorganizować pracę, aby za ochronę danych odpowiadali inspektor ochrony danych w głównej siedzibie administratora oraz zastępcy inspektora ochrony danych w oddziałach administratora danych?
Odpowiedź: 

Administrator będzie mógł powołać zespół inspektora ochrony danych, w skład którego wejdą inspektor ochrony danych i jego pracownicy, których można ustanowić jego zastępcami. Trzeba będzie jasno określić strukturę, podział i zakres obowiązków w ramach zespołu.

Jak najbardziej zasadne jest, a często wręcz wskazane, wyznaczenie zastępców inspektora ochrony danych (IOD lub DPO), jego współpracowników, czy zespołu ds. bezpieczeństwa informacji. Zarówno tam, gdzie struktura organizacyjna administratora jest rozbudowana, jak i w przypadku zatrudnienia specjalisty zewnętrznego jako inspektora ochrony danych. Mówią o tym przede wszystkim Wytyczne Gupy Roboczej Art. 29 do ogólnego rozporządzenia o ochronie danych dotyczące inspektorów ochrony danych.

Czytamy tam: „Zgodnie z artykułem 37(3) jeden DPO może zostać wyznaczony dla kilku organów lub podmiotów publicznych, po uwzględnieniu ich struktury organizacyjnej i wielkości. Te same ustalenia mają zastosowanie do zasobów i komunikacji. Biorąc pod uwagę fakt, iż DPO posiada wiele zadań, administrator albo podmiot przetwarzający musi mieć pewność, że jeden DPO, z zespołem jeśli jest to niezbędne, pozytywnie wypełni swoje obowiązki pomimo wyznaczenia go dla kilku podmiotów i organów publicznych (…). W zależności od rozmiaru i struktury organizacji przydatne może być powołanie zespołu inspektora ochrony danych (DPO i jego pracowników). W przypadku powołania takiego zespołu jego struktura, podział i zakres obowiązków powinny zostać jasno ustalone. Również w przypadku wyznaczenia DPO spoza organizacji, zespół pracowników podmiotu zewnętrznego powołany do wypełniania obowiązków związanych z ochroną danych osobowych może efektywnie wypełniać zadania DPO, gdy wyznaczona zostanie osoba odpowiedzialna za kontakt z klientem (…)”.

Ważne:

Wprawdzie wytyczne Grupy Roboczej Art. 29 nie stanowią prawa, ale są instrumentem uzupełniającym ogólne rozporządzenie o ochronie danych, wspomagającym w wywiązywaniu się z tych dość ogólnych i generalnych przepisów i będą brane pod uwagę przez Urząd Ochrony Danych Osobowych w sprawdzaniu zgodności działania administratorów z przepisami ogólnego rozporządzenia.

Piotr Glen

Autor: Piotr Glen

doświadczony administrator bezpieczeństwa informacji pełniący tę funkcję dla wielu firm i instytucji, trener i audytor

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x