Co grozi za brak wyznaczenia inspektora ochrony danych?

Europejskie organy nadzorcze wydają decyzje, w których nakładają na organizacje sankcje za brak wyznaczenia inspektora ochrony danych. Nie tylko nakazują wyznaczenie IOD, nakładają także na zobowiązane organizacje administracyjne kary pieniężne.

Inspektor ochrony danych (IOD) jest odpowiedzialny za budowanie kultury ochrony danych osobowych w organizacji. Jak po blisko sześciu latach od rozpoczęcia stosowania przepisów RODO wypełniana jest w praktyce ta rola? Z jakimi problemami mierzą się inspektorzy ochrony danych? Jakich rad udziela prezes Urzędu Ochrony Danych Osobowych organizacjom, które wyznaczyły IOD, a także samym inspektorom? Jakie wnioski w zakresie pełnienia tej funkcji można wysnuć na podstawie rozstrzygnięć zagranicznych organów ochrony danych osobowych? Na te pytania odpowiemy w cyklu artykułów poświęconych praktycznym problemom związanym z wyznaczeniem i funkcjonowaniem inspektora ochrony danych w organizacji.

Zasadniczo, przepisy RODO przewidują konieczność wyznaczenia IOD w trzech sytuacjach:

∑ gdy przetwarzania dokonują organ lub podmiot publiczny;

∑ gdy główna działalność organizacji polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, na dużą skalę;

∑ gdy główna działalność organizacji polega na przetwarzaniu na dużą skalę szczególnych kategorii danych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Powyższe pojęcia, takie jak główna działalność czy duża skala, nie zostały zdefiniowane w przepisach. To...