Instrukcja pełnienia funkcji IOD i Specjalisty RODO

Instrukcja pełnienia funkcji IOD i Specjalisty RODO

 

I. Powołanie Inspektora Ochrony Danych

1. Firma "Cyber Ochrona Sp. z o.o." powołuje Inspektora Ochrony Danych (IOD) w celu zapewnienia realizacji zadań IOD określonych w RODO, posiadającego odpowiednią wiedzę fachową i kwalifikacje zawodowe w zakresie RODO i ochrony danych osobowych, pozwalające na kompleksowe wsparcie "Cyber Ochrona Sp. z o.o." we właściwej realizacji obowiązków RODO. W tym celu "Cyber Ochrona Sp. z o.o." wdrożył Instrukcję pełnienia funkcji IOD i Specjalisty RODO.

2. Inspektor Ochrony Danych może być zatrudniony w "Cyber Ochrona Sp. z o.o.", niezależnie od formy współpracy lub może świadczyć usługę outsourcingu, lecz musi być co najmniej 1 dzień roboczy w tygodniu dostępny fizycznie w ul. Kwiatowa 12, 00-001 Warszawa oraz co najmniej przez 3 dni w tygodniu dostępny również na odległość (łącznie z dniami dostępności fizycznej).

3. Przy wyborze IOD "Cyber Ochrona Sp. z o.o." weryfikuje, czy kandydat na IOD nie będzie znajdował się w konflikcie interesów, w szczególności, jeżeli funkcja IOD jest planowana jako funkcja łączona z innym stanowiskiem. Funkcję IOD można łączyć wyłącznie ze stanowiskiem Kierownika audytu wewnętrznego, compliance, działu prawnego, bezpieczeństwa informacji, zgodności z ISO.

4. Po powołaniu IOD "Cyber Ochrona Sp. z o.o." w ciągu 14 dni:

1) zgłasza ten fakt do Prezesa Urzędu Ochrony Danych Osobowych (PUODO),

2) zamieszcza informację o Janie Kowalskim oraz adres e-mail: [email protected] i numer telefonu: +48 123 456 789 do IOD na www.cyberochrona.pl, w zakładce „Kontakt”, a jeżeli "Cyber Ochrona Sp. z o.o." posiada odrębną zakładkę „RODO, to również w tej zakładce.

5. Zgłoszenia dokonuje się elektronicznie przez platformę biznes.gov.pl, obywatel.gov.pl lub elektroniczną skrzynkę podawczą ePUAP.

6. Zgłoszenia dokonuje się na formularzu opublikowanym przez PUODO na stronie internetowej PUODO.

7. 14 dni oraz tryb zgłoszenia powołania IOD-a stosuje się również do:

1) zmiany danych kontaktowych IOD,

2) odwołania dotychczasowego IOD,

3) odwołania dotychczasowego IOD i powołania nowego IOD,

4) zmiany adresu siedziby "Cyber Ochrona Sp. z o.o.".

8. Odpowiednie formularze zgłoszeń znajdują się pod adresem: https://www.uodo.gov.pl na stronie PUODO: https://www.uodo.gov.pl.

II. Inspektor Ochrony Danych

1. Inspektor Ochrony Danych bezpośrednio podlega najwyższemu kierownictwu "Cyber Ochrona Sp. z o.o.".

2. Inspektor Ochrony Danych nie podlega instrukcjom dotyczącym wykonywania jego zadań i nie może być karany lub odwoływany za wypełnianie swoich zadań.

3. Inspektor Ochrony Danych jest włączany we wszystkie sprawy dotyczące ochrony Danych Osobowych.

4. "Cyber Ochrona Sp. z o.o." zapewnia IOD:

1) zasoby niezbędne do wykonania zadań, w szczególności wsparcie osób funkcyjnych w zakresie realizacji RODO,

2) dostęp do Danych Osobowych i operacji przetwarzania,

3) zasoby niezbędne do utrzymania wiedzy fachowej, w szczególności w miarę możliwości zapewnienie udziału w szkoleniach, konferencjach, seminariach dotyczących tematyki RODO, w tym w wydarzeniach, w których udział jest nieodpłatny, oraz zapewnienie dostępu do niezbędnych materiałów naukowych (np. publikacji książkowych, czasopism branżowych).

5. Inspektor Ochrony Danych umożliwia bezpośredni kontakt w sprawach związanych z przetwarzaniem Danych Osobowych przez "Cyber Ochrona Sp. z o.o." osobom zainteresowanym.

III. Specjalista RODO

1. Specjalista RODO podlega bezpośrednio Zarządowi "Cyber Ochrona Sp. z o.o.".

2. Specjalista RODO jest obowiązany stosować się do wytycznych i zaleceń IOD-a.

3. Przy wykonywaniu swoich obowiązków Specjalista RODO jest niezależny od Kierowników i ma prawo odmówić polecenia wydanego mu przez Kierownika.

4. Jeżeli w "Cyber Ochrona Sp. z o.o." nie został powołany IOD, jego obowiązki realizuje Specjalista RODO.

5. Specjalista RODO nie posiada prawa do reprezentowania "Cyber Ochrona Sp. z o.o." wobec PUODO, do współpracy z PUODO oraz do pełnienia punktu kontaktowego dla PUODO, chyba że "Cyber Ochrona Sp. z o.o." udzieli mu szczegółowego upoważnienia do reprezentowania "Cyber Ochrona Sp. z o.o.".

6. Jeżeli do zakresu obowiązków Specjalisty należą również inne obowiązki niezwiązane z RODO, Specjalista RODO ustala priorytety swojej pracy w sposób niezależny od Kierownika, któremu podlega w związku z wykonywaniem tych innych obowiązków.

7. Co do zasady, Specjalista RODO ma obowiązek traktować swoje obowiązki z zakresu RODO z wyższym priorytetem niż pozostałe obowiązki. Specjalista RODO nie może ponosić odpowiedzialności za opóźnienia w realizacji swoich innych obowiązków, jeżeli czasowo nie było ono możliwe do pogodzenia z obowiązkami z zakresu RODO.

IV. Zakres uprawnień

1. W zakresie realizacji swoich obowiązków IOD/Specjalista RODO może:

1) żądać od każdej Osoby Upoważnionej, Kierownika, IT, HR, innych osób funkcyjnych w "Cyber Ochrona Sp. z o.o." oraz Przetwarzającego udzielenia pełnej i rzetelnej informacji dotyczącej przetwarzania Danych Osobowych,

2) żądać od każdej Osoby Upoważnionej, Kierownika oraz Przetwarzającego sporządzenia dowolnego zrzutu ekranu, kopii, wydruku,

3) dokonać oględzin biura, systemu informatycznego, nośników Danych Osobowych,

4) zatrzymać nośnik Danych Osobowych.

2. Z dokonanych czynności IOD/Specjalista RODO ma obowiązek sporządzić notatkę służbową zawierającą opis czynności oraz poczynione ustalenia.

3. Inspektor Ochrony Danych oraz Specjalista RODO składa "Cyber Ochrona Sp. z o.o." kwartalnie sprawozdania z bieżących spraw związanych z przestrzeganiem RODO. Kwartalne sprawozdanie obejmuje ostatni kwartał i jest składane do 15 dnia następnego miesiąca po zakończonym kwartale i zawiera:

1) wykaz przeprowadzonych działań,

2) informacje o stanie ochrony Danych Osobowych w "Cyber Ochrona Sp. z o.o.",

3) informacje o Incydentach Bezpieczeństwa Danych Osobowych,

4) informacje o realizacji praw osób, których Dane Osobowe dotyczą,

5) informacje o skargach osób, których Dane Osobowe dotyczą,

6) informacje o kontaktach, wystąpieniach i kontrolach PUODO.

V. Prowadzenie szkoleń RODO

1. Specjalista RODO zapewnia szkolenia wstępne, cykliczne oraz zgodnie z zapotrzebowaniem w zakresie dotyczącym przetwarzania Danych Osobowych lub RODO.

2. Szkolenia wstępne dotyczą podstawowych zasad przetwarzania Danych Osobowych w "Cyber Ochrona Sp. z o.o.".

3. Szkolenia wstępne są przeprowadzane przez Specjalistę RODO dla każdej nowej Osoby Upoważnionej.

4. Szkolenia wstępne mogą odbywać się zbiorczo dla nowej grupy Osób Upoważnionych, jeżeli okres od otrzymania upoważnienia przez ostatnią osobę w grupie nie będzie dłuższy niż 1 miesiąc od otrzymania upoważnienia przez pierwszą osobę Upoważnioną.

5. Szkolenia cykliczne dotyczą zakresu RODO, innych przepisów dotyczących przetwarzania Danych Osobowych lub przepisów wewnętrznych w "Cyber Ochrona Sp. z o.o.".

6. Szkolenia cykliczne odbywają się nie rzadziej niż raz na rok dla każdej Osoby Upoważnionej.

7. Szkolenia zgodnie z zapotrzebowaniem odbywają się w związku z bieżącym zapotrzebowaniem w określonym obszarze związanym z przetwarzanie