Rekomendacja powołania IOD

REKOMENDACJA DOTYCZĄCA POWOŁANIA IOD

Szablon przygotowany przez CyberSafe Sp. z o.o.

Warszawa, dn. 24.05.2024

ANALIZA ZASADNOŚCI WYZNACZENIA

INSPEKTORA OCHRONY DANYCH

w

Digital Solutions Sp. z o.o.

lub DS/IOD/2024

DOKUMENT WEWNĘTRZNY                  Strona 1 z 7

1. Stosownie do art. 37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE.L Nr 119, str. 1) , dalej: RODO, poniższa tabelka ilustruje, czy w Digital Solutions Sp. z o.o. występują okoliczności, w których wymagane jest powołanie inspektora ochrony danych dalej: IOD).

                                 Czy okoliczność

Okoliczność                                           występuje?          Uzasadnienie

Przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 lit. a RODO)                       Nie

Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (art. 37 ust. 1 lit. b RODO)          Tak

Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 (art. 37 ust. 1 lit. c RODO)       Nie

Prawo Unii lub prawo państwa członkowskiego wymaga powołania IOD w innych okolicznościach (art. 37 ust. 4 RODO)          Nie

DOKUMENT WEWNĘTRZNY                  Strona 2 z 7

2. W związku z powyższym, powołanie IOD dla Digital Solutions Sp. z o.o. jest wymagane przez RODO. Niemniej jednak, Digital Solutions Sp. z o.o. stanowi przedsiębiorstwo informatyczne, działające na terenie całej Polski. Z uwagi na dynamiczny rozwój firmy, należy wskazać, że zasadnym jest jednak powołanie IOD, choć jak wyżej wskazano, jest to działanie konieczne. IOD w ramach pełnienia swoich obowiązków będzie nadzorował kwestie związane z przetwarzaniem danych osobowych, a specjalistyczna wiedza w tym zakresie pozwoli na realne sprawowanie przedmiotowej funkcji, co z uwagi na sposób działania organizacji ma zasadnicze znaczenie.

3. Stosownie do art. 37 ust. 2 RODO, grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. W związku z powyższym, rekomenduje się powołanie jednego IOD dla Digital Solutions Sp. z o.o. oraz wyznaczenie punktów kontaktowych ds. ochrony danych w pozostałych podmiotach z grupy.

4. Stosownie do art. 39 ust. 1 RODO, do zadań IOD będzie należeć:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

d) współpraca z organem nadzorczym;

DOKUMENT WEWNĘTRZNY                  Strona 4 z 7

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

DOKUMENT WEWNĘTRZNY                  Strona 5 z 7

5. Stosownie do art. 37 ust. 5 RODO, IOD należy wyznaczyć na podstawie kwalifikacji zawodowych, fachowej wiedzy na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań wynikających z RODO. Stosownie do art. 37 ust. 5 w zw. z art. 39 RODO, do kryteriów wyboru IOD należą:

a) poziom znajomości prawa ochrony danych osobowych,

b) poziom znajomości praktycznych aspektów ochrony danych osobowych,

c) przygotowanie do świadczenia usług doradczych z zakresu prawa ochrony danych osobowych, w tym udzielania zaleceń co do oceny skutków przetwarzania dla ochrony danych,

d) przygotowanie do świadczenia usług uświadamiających i edukujących administratora, podmiot przetwarzający i ich pracowników z zakresu prawa ochrony danych osobowych,

e) umiejętności w zakresie audytów i monitorowania systemu ochrony danych osobowych

f) umiejętności przeprowadzania analizy ryzyka.

6. Stosownie do art. 37 ust. 7 RODO, dane kontaktowe IOD należy opublikować i terminowo zawiadomić o nich organ nadzorczy.

7. Stosownie do art. 38 ust. 1 i 2 RODO, IOD powinien być włączany we wszystkie sprawy dotyczące ochrony danych osobowych, i posiadać zasoby niezbędne do wykonania swoich zadań i utrzymania wiedzy fachowej, a także ma dostęp do danych osobowych i operacji przetwarzania.

8. Stosownie do art. 38 ust. 3 RODO, IOD nie otrzymuje instrukcji dotyczących swoich zadań, podlega bezpośrednio najwyższemu kierownictwu oraz nie jest odwoływany ani karany za wypełnianie swoich zadań.

9. Stosownie do art. 39 ust. 1 RODO, inne zadania i obowiązki, które wykonuje IOD, nie mogą powodować konfliktu interesów.

Jan Kowalski

DOKUMENT WEWNĘTRZNY                  Strona 6 z 7

DOKUMENT WEWNĘTRZNY                  Strona 7 z 7