Pytanie:
Czy inspektor ochrony danych powinien prowadzić ewidencje upoważnionych pracowników wyznaczonych do przetwarzania danych osobowych?
Odpowiedź: Tak, jeżeli taki obowiązek nałoży na niego administrator danych osobowych.
Można rozszerzyć kompetencje IOD
Kwestie ewidencjonowania upoważnień nie została uregulowana w przepisach. Obowiązkiem IOD jest:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach (art. 39 ust. 1 RODO).
Przepisy nie wskazują więc na obowiązek ewidencjonowania przez IOD upoważnień do przetwarzania danych. Z drugiej strony nie ma przeszkód, by na IOD taki obowiązek nałożyć np. w zakresie jego czynności.
UwagaNic też nie stoi na przeszkodzie, by taki obowiązek nałożyć na innego pracownika, a wówczas IOD sprawowałby kontrolę nad ewidencją (jako że zgodnie z RODO ma monitorować przestrzeganie rozporządzenia unijnego).
Autor: Michał Kowalski
Radca prawny, specjalista z zakresu prawa pracy i ubezpieczeń społecznych oraz prawa oświatowego, redaktor licznych publikacji
