Inspektor ochrony danych

Inspektor ochrony danych (IOD) (ang. data protection officer, fr. délégué à la protection des données) - osoba fizyczna, wspierająca administratora danych osobowych w realizacji obowiązków, dotyczących ochrony danych osobowych.

Rola inspektora ochrony danych została uregulowana w przepisach unijnych i krajowych, dotyczących ochrony danych osobowych.

 Osobny artykuł: Ogólne rozporządzenie o ochronie danych.

Przepisy RODO, dotyczące inspektora ochrony danych, zostały uregulowane w szczególności w art. 37-39 RODO.

Wyznaczenie IOD przez administratora danych jest obowiązkowe, gdy^[1]:

• przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości)
• główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
• główna działalność polega na przetwarzaniu na dużą skalę danych z art. 9 RODO lub art. 10 RODO.

W pozostałych przypadkach wyznaczenie IOD jest dobrowolne^[2].

Do zadań inspektora ochrony danych należy^[3]:

• informowanie administratora danych oraz osób przetwarzających dane o obowiązkach, związanych z ochroną danych osobowych,
• monitorowanie przestrzegania RODO, innych przepisów oraz polityk administratora danych, w szczególności przez szkolenia i audyty,
• udzielanie zaleceń w zakresie oceny skutków dla ochrony danych,
• współpraca z organem nadzorczym, w tym pełnienie funkcji punktu kontaktowego.

 Osobny artykuł: Ustawa o ochronie danych osobowych.

Ustawa o ochronie danych osobowych zobowiązuje do wyznaczenia IOD następujące organy i podmioty publiczne^[4]:

• jednostki sektora finansów publicznych,
• instytuty badawcze,
• Narodowy Bank Polski.

Wyznaczenie IOD powoduje konieczność zgłoszenia tego faktu do Prezesa Urzędu Ochrony Danych Osobowych (w terminie 14 dni od dnia wyznaczenia)^[5].

W przypadku wyznaczenia IOD jego dane kontaktowe (imię, nazwisko, adres e-mail lub numer telefonu) mają być dostępne na stronie internetowej administratora, który go wyznaczył. Jeżeli administrator nie ma strony internetowej, dane IOD mają być zamieszczone w sposób ogólnie dostępny w miejscu prowadzenia działalności^[6].

 Osobny artykuł: Administrator bezpieczeństwa informacji.

Do maja 2018 r. rolę obecnych IOD pełnili administratorzy bezpieczeństwa informacji. W ramach dostosowywania polskich przepisów do RODO ustawodawca określił zasady pełnienia funkcji IOD przez dotychczasowych ABI^[7][8].

Funkcję inspektora ochrony danych przewiduje także rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE^[9].

• Europejski Inspektor Ochrony Danych

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG)
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Tekst mający znaczenie dla EOG.)