Inspektor Ochrony Danych, czyli IOD, budzi sporo nieporozumień. Jedni powołują go na wszelki wypadek, inni ignorują obowiązek, bo nie wiedzą, że ich dotyczy. Tymczasem RODO opisuje to dość konkretnie. Warto wiedzieć, po której stronie granicy jest Twoja firma.

Kiedy IOD jest obowiązkowy

RODO wymienia trzy sytuacje, w których powołanie IOD jest obowiązkowe.

  • Przetwarzania dokonuje organ lub podmiot publiczny.
  • Główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę.
  • Główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych kategorii lub danych o wyrokach.

Kluczowe są słowa główna działalność i duża skala. Sklep, który prowadzi zwykłą listę klientów, zwykle nie łapie się na obowiązek. Placówka medyczna, firma ochroniarska z monitoringiem czy platforma śledząca zachowania użytkowników, już tak.

Duża skala w praktyce

Nie ma sztywnej liczby rekordów, od której zaczyna się duża skala. Bierze się pod uwagę liczbę osób, zakres danych, czas i zasięg terytorialny. Dlatego dwie firmy o podobnej wielkości mogą mieć różne obowiązki, zależnie od tego, czym się zajmują.

Najczęstszy błąd, jaki widuję, to liczenie wyłącznie liczby klientów. Firma z monitoringiem wideo w kilku obiektach potrafi przetwarzać dane na dużą skalę, mimo że klientów ma niewielu.

Kiedy warto powołać IOD dobrowolnie

Nawet bez obowiązku prawnego powołanie IOD bywa rozsądne. To sygnał dojrzałości, ale i realne odciążenie zarządu.

  • Przetwarzasz dane wrażliwe, choć poniżej progu dużej skali.
  • Działasz w branży regulowanej albo obsługujesz duże podmioty, które tego oczekują.
  • Chcesz mieć jeden punkt kontaktu w sprawach RODO i porządek w dokumentacji.

Uwaga na jedną pułapkę. Jeśli powołasz IOD dobrowolnie, obowiązują Cię te same wymogi co przy powołaniu obowiązkowym: niezależność, zgłoszenie do organu, brak konfliktu interesów. Nie można mieć IOD tylko z nazwy.

Czego IOD nie może robić

To źródło wielu problemów w małych firmach, które wyznaczają na IOD kogoś z zarządu albo szefa IT.

  • IOD nie może sam decydować o celach i sposobach przetwarzania, bo wtedy kontrolowałby własne decyzje.
  • IOD musi mieć niezależność i bezpośredni kontakt z najwyższym kierownictwem.
  • IOD potrzebuje realnego czasu i wiedzy, a nie roli dopisanej do etatu na siłę.

Właśnie dlatego łączenie funkcji IOD z rolą prezesa, dyrektora IT czy szefa HR bywa konfliktem interesów.

Co daje outsourcing funkcji IOD

Dla firmy MŚP outsourcing IOD często rozwiązuje wszystkie powyższe problemy naraz. Zewnętrzny inspektor jest z definicji niezależny i ma doświadczenie z wielu wdrożeń.

  • Niezależność bez konfliktu interesów, bo osoba spoza struktury nie ocenia własnych decyzji.
  • Aktualna wiedza o zmianach w prawie i orzecznictwie.
  • Gotowe procedury: obsługa żądań osób, ocena skutków, zgłaszanie naruszeń.
  • Wsparcie w kontakcie z organem nadzoru i z osobami, których dane dotyczą.
  • Przewidywalny koszt zamiast utrzymywania kolejnego etatu.

Na co uważać przy wyborze

Dobry outsourcing IOD to nie skrzynka mailowa raz na kwartał. Ustal, jak wygląda dostępność, czas reakcji na incydent i zakres wsparcia przy kontroli. Dopytaj o realne doświadczenie w Twojej branży.

Podsumowanie

Sprawdź najpierw, czy IOD jest u Ciebie obowiązkowy: publiczny charakter, monitorowanie na dużą skalę albo dane szczególne na dużą skalę. Jeśli nie, rozważ powołanie dobrowolne tam, gdzie ryzyko i oczekiwania rynku to uzasadniają. W obu przypadkach pamiętaj o niezależności i braku konfliktu interesów.

Jeśli chcesz mieć niezależnego inspektora bez etatu i bez konfliktu ról, sprawdź nasz outsourcing IOD. A jeśli nie wiesz, od czego zacząć, dobrym punktem startu jest audyt RODO, który pokaże, czego naprawdę potrzebujesz.