Litewski organ ochrony danych (DVI) opublikował praktyczne wytyczne dotyczące roli inspektora ochrony danych (IOD)
16/08/2022
W wytycznych wyjaśniono rolę i status IOD, a także wskazane zostały praktyczne przykłady dotyczące działalności IOD w organizacji, w szczególności w zakresie zapobiegania ewentualnym konfliktom interesów.
Wskazówki dotyczące IOD są pierwszą publikacją z zapowiadanej przez litewski organ ochrony danych serii artykułów w ramach inicjatywy #DVImovement. Zapowiadany cykl dotyczył będzie praktycznych wyjaśnień RODO dedykowanych IOD jak i organizacjom.
W wytycznych wskazano, iż główną funkcją IOD jest wydawanie niezależnej opinii na temat zgodności planowanego lub już realizowanego procesu przetwarzania danych osobowych przez organizację z RODO i innymi obowiązującymi aktami prawnymi, z wykorzystaniem przez niego specjalistycznej wiedzy.
Niezależnie od zaleceń udzielonych przez IOD, organizacja, która zatrudniła specjalistę, będzie odpowiedzialna za przetwarzanie danych osobowych i kwestie z tym związane. DVI wskazuje, że stanowisko DPO nie może być zagrożone w przypadkach, gdy wymogi ochrony danych nie zostały spełnione, ale DPO udzielił porady, ani w przypadkach, gdy DPO nie był zaangażowany w ważne kwestie związane z przetwarzaniem danych.
Jak czytamy w wytycznych, IOD nie powinno się powierzać samodzielnego opracowywania dokumentów, gdyż spowodowałoby to konflikt interesów (IOD musiałby ocenić jakość swojej pracy). IOD powinien dokonywać kontroli jakościowej po opracowaniu dokumentu.
DVI podaje we wskazówkach praktyczne przykłady jakie podmioty zobowiązane są jego zdaniem do powołania IOD. Wskazuje, że zwłaszcza w przypadkach, gdy działalność gospodarcza firmy jest bezpośrednio związana z przetwarzaniem danych osobowych na dużą skalę, firma jest zobowiązana zaangażować IOD tj. np.:
- firma, której główna działalność związana jest z profilowaniem osób fizycznych lub z zamiarem dokonania oceny ich zdolności kredytowej;
- firma ochroniarska korzystająca z monitoringu wideo w miejscach publicznych w ramach swoich usług;
- firma, która przeprowadza analizę zachowań klientów (na przykład badanie, jakie produkty oglądali klienci, co kupili itp.), aby zapewnić dostarczanie ukierunkowanej komunikacji marketingowej;
- firma przeprowadzająca badania klientów w celu przeciwdziałania praniu pieniędzy;
- firma wykorzystująca aplikacje mobilne przetwarzające dane geolokalizacyjne użytkowników dla zamawiającego;
- firma zbierających dane klientów w ramach programów lojalnościowych;
- firma, która prowadzi monitorowanie zdrowia, treningu fizycznego i zdrowia klientów lub za pomocą urządzeń do noszenia;
- firma, która przetwarza informacje uzyskane z Internet (na przykład inteligentne liczniki, podłączone samochody, urządzenia automatyki domowej itp.) dla urządzeń podłączonych do Internetu.
Podobnie powołanie IOD jest obowiązkowe dla podmiotów, których celem jest przetwarzanie szczególnych kategorii danych osobowych na dużą skalę np.: partie polityczne, szpitale, wspólnoty religijne, aplikacje i strony internetowe oferujące usługi randkowe, związki zawodowe, firmy dostarczające i/lub korzystające z danych biometrycznych (matryce biometryczne twarzy, dane o odciskach palców itp.).
Zdaniem litewskiego organu organizacje, które nie posiadają IOD, są zagrożone podejmowaniem decyzji i wdrażaniem procesów przetwarzania danych osobowych, które mogą być niezgodne z RODO.
Pełna treść wytycznych https://www.dvi.gov.lv/lv/jaunums/%23DAS_12082022
Jeśli nie wiesz czy Twoja organizacja powinna powołać IOD zachęcamy do skorzystania z naszej bezpłatnej ankiety opublikowanej w odoserwis.pl https://odoserwis.pl/a/1659/sprawdz-czy-musisz-powolac-inspektora-ochrony-danych-bezplatna-ankieta