W trzeciej mowa jest z kolei o firmach, w których „główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, takich jak ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzające dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby, jak również dane osobowe dotyczące wyroków skazujących i naruszeń prawa” – tak definiuje to rozporządzenie.
Kto będzie mógł zostać IOD?
Osoba o szerokiej wiedzy z zakresu ochrony danych osobowych będzie mogła zostać IOD. Firma będzie mogła ją wyznaczyć spośród swoich pracowników, jak również nawiązać współpracę z ekspertem z zewnątrz. Dopuszczalna jest zarówno sytuacja, gdy funkcję tę pełni jedna osoba dla kilku różnych firm, jak i taka, gdy w jednym przedsiębiorstwie zajmuje się tym kilka osób, oczywiście przy wyznaczeniu jednej, kierującej zespołem. Teoretycznie możliwe jest również, aby funkcję IOD pełnił dotychczasowy ABI, jednak zależeć to będzie od szczegółowych zasad realizacji RODO w danym europejskim kraju.
Po wyznaczeniu inspektora, administrator danych osobowych będzie musiał go zgłosić do Generalnego Inspektora Ochrony Danych Osobowych, który będzie musiał mieć dostęp do informacji dotyczących bezpośredniego kontaktu z IOD, a więc na przykład do numeru telefonu, służbowego adresu i/lub adresu e-mail.
Ochrona IOD
Inspektor będzie możliwie niezależny, a więc będzie jedynie podlegał najwyższym władzom w firmie. Może wykonywać inne obowiązki, jednak nie mogą one prowadzić do pojawienia się konfliktu interesów. Jak czytamy w rozporządzeniu, „administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do ich wykonania oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej”, a ponadto „zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań”.
Obowiązki IOD skupiają się przede wszystkim wokół zadań z zakresu compliance, czyli sprawdzania, czy działania są wykonywane zgodnie z obowiązującym prawem oraz wokół kontaktowania się i współpracowania z GIODO. W naszym e-booku piszemy więcej o obowiązkach inspektora danych osobowych.
