Scedowanie obowiązków IOD na innych pracowników jako alternatywa – czy to możliwe

Scedowanie obowiązków IOD na innych pracowników jako alternatywa – czy to możliwe

Teoretycznie możliwe jest scedowanie obowiązków inspektora ochrony danych na innych pracowników – jednak tylko wtedy, gdy dany administrator nie ma obowiązku wyznaczenia inspektora. Należy też mieć na względzie, że zakres odpowiedzialności takich pracowników jest inny niż w przypadku IOD.

Istota funkcjonowania IOD

RODO wprowadza instytucję tzw. inspektora ochrony danych, który zasadniczo przejmie prawa i obowiązki dotychczasowego ABI. Co do zasady przetwarzanie danych osobowych należy do administratora danych osobowych. Wykonuje on swoje obowiązki z pomocą inspektora ochrony danych, który – bez względu na to, czy jest pracownikiem administratora czy też nie – powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny od tego administratora. Art. 38 ust. 6 RODO stanowi, że inspektor ochrony danych może wykonywać inne zadania i obowiązki a administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

W przypadku gdy ADO nie ma obowiązku ustanowienia IOD, obowiązki nałożone przez RODO na IOD spoczywają więc na ADO. Przykładowo w przypadku banku oznacza to, że obowiązki IOD wykonuje zarząd banku.

Brak IOD nie oznacza braku wsparcia dla administratora

Nie istnieją żadne przeszkody, aby w przypadku, gdy dany podmiot nie ma obowiązku i nie chce ustanowić IOD, obowiązki związane z ochroną danych osobowych były w jakiejś części (lub nawet w całości) scedowane z zarządu tej spółki na poszczególnych pracowników. Należy jednak pamiętać że nie będziemy mieli wówczas do czynienia z IOD, a zwykłym pracownikiem, którego zakres odpowiedzialności obejmuje określony wycinek spraw związanych z ochroną danych osobowych. Takim pracownikiem w banku może być np. koordynator przeciwdziałania praniu brudnych pieniędzy.

Do takich pracowników nie stosuje się wymogów RODO dotyczących IOD, np. w zakresie wymagane minimum kwalifikacji zawodowych. Nie trzeba też chociażby informować podmiotów danych o personaliach tych pracowników bo nie są to IOD.

Sposób upoważnienia wybranych pracowników do wykonywania zadań z zakresu ochrony danych osobowych może być różny. Może to być pełnomocnictwo, można zmienić zakres obowiązków w umowie o pracę, zmienić strukturę organizacyjną ADO przez powołanie specjalnego stanowiska ds. ochrony danych osobowych. W niektórych sytuacjach konieczne będzie wykonanie kilku tych działań.

Przeczytaj również:

Podstawa prawna

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 37, art. 38.

Marcin Sarna
Radca prawny,
Ekspert portalu PoradyODO.pl

Poprzedni artykułJakie wyposażyć firmowe biuro?
Następny artykułJak pozyskiwać zgody w e-commerce, by procedury spełniały wytyczne RODO?

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj