Pytanie:  Czy inspektorem ochrony danych w stowarzyszeniu może zostać członek rady nadzorczej. Rada ma w swoich kompetencjach nadzorowanie zarządu.

Osoby będące informatykami niejednokrotnie mają wiedzę, która byłaby bardzo przydatna w wykonywaniu pracy inspektora ochrony danych. Czy jednak możliwe jest łączenie tych stanowisk w organizacji? Kwestię tę należy rozważyć w kontekście ewentualnego konfliktu interesów.

Pytanie:  Do jakich informacji powinien mieć dostęp IOD, aby móc należycie wykonywać swoje zadania?

Pytanie:  Czy inspektor ochrony danych może prowadzić zbiory danych osobowych?

Nie zawsze wyznaczenie inspektora ochrony danych jest obowiązkowe. Niemniej jednak w każdym przypadku jest możliwe i może być traktowane jako wdrożenie środka bezpieczeństwa.

Jak wiadomo, administrator ma obowiązek wyznaczenia inspektora ochrony danych w trzech przypadkach. Jest to konieczne, gdy przetwarzania danych dokonuje organ lub podmiot publiczny. Oprócz tego IOD należy wyznaczyć, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Poza tym IOD jest obowiązkowy, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. W pozostałych przypadkach wyznaczenie inspektora zależy od administratora. Dowiedz się, jak wybrać IOD i wyznaczyć właściwego inspektora zgodnie z przepisami.

Pytanie:  Inspektor ochrony danych zajmuje jednocześnie stanowisko w jednej z komórek organizacyjnych. Czy w związku z tym należy sporządzić dla niego dwa odrębne zakresy czynności?

Niejednokrotnie kierownictwo organizacji dochodzi do wniosku, że wyznaczenie inspektora ochrony danych jest zbędne. Przyjmują bowiem założenie, że lepsza jest niewiedza w zakresie konieczności zapewnienia bezpieczeństwa danych osobowych, niż ciągle i sukcesywnie nabywane informacje od IOD o niedociągnięciach w systemie ochrony danych oraz o konieczności wdrażania rekomendowanych przez IOD rozwiązań. To bowiem jest kosztowne. Dlaczego takie podejście jest nieprawidłowe? Wyjaśniamy to w artykule.

Pytanie:  Czy prawidłowym jest wskazanie punktu kontaktowego w postaci adresu skrzynki e-mail Inspektora Ochrony Danych w zasobach zewnętrznej firmy świadczącej usługi outsourcingu IOD, którą administrator danych osobowych nie ma faktycznej zdolności zarządzać?

Pytanie:  Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ustawy o ochronie danych osobowych, na swojej stronie WWW, a jeżeli nie prowadzi własnej strony, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Z kolei w klauzuli informacyjnej podaje się jedynie dane kontaktowe IOD. Jak pogodzić te wymogi?