Krok 1. Weryfikacja obowiązku
Lista zobowiązanych do wyznaczenia inspektora ochrony danych (dalej IOD) zawiera trzy grupy pracodawców jako administratorów danych:
– organy lub podmioty publiczne, czyli jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski, z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości;
– podmioty, których główna działalność polega na przetwarzaniu danych, co wymaga regularnego i systematycznego monitorowania osób na dużą skalę z uwagi na swój charakter, zakres lub cel, czyli pracodawcy, których zasadniczym (nie pobocznym) zadaniem jest przetwarzanie danych;
– podmioty, które głównie przetwarzają na dużą skalę dane wrażliwe (ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności czy orientacji seksualnej tej osoby) oraz dane dotyczące wyroków skazujących i naruszeń prawa, czyli m.in. szpitale, transport publiczny, fast foody, banki, ubezpieczyciele, firmy zajmujące się reklamą behawioralną przez wyszukiwarki internetowe, dostawcy usług internetowych i telefonicznych.
Krok 2. Wybór kandydata
Jeśli pracodawca znajduje się w zestawieniu podmiotów zobowiązanych do wyznaczenia IOD, może wybrać kandydata ze swojego personelu, z grona osób zatrudnionych w podmiocie przetwarzającym (jeśli powierza mu dane osobowe) albo spoza tych kręgów. O ile w dwóch pierwszych przypadkach podstawą zatrudnienia może być umowa o pracę, o tyle w trzecim wyłącznie umowa o świadczenie usług.
Wybierana osoba musi spełniać konkretne wymagania. Po pierwsze, ma posiadać wiedzę fachową na temat prawa i praktyk ochrony danych osobowych adekwatną do charakteru, poziomu skomplikowania oraz ilości przetwarzanych danych u konkretnego pracodawcy. Po drugie, powinna odznaczać się wiedzą biznesową i sektorową dotyczącą działalności pracodawcy oraz prowadzonych operacji przetwarzania danych, stosowanych technologii informatycznych i bezpieczeństwa danych, a gdy chodzi o pracodawców ze sfery publicznej – procedur administracyjnych i funkcjonowania określonej jednostki. Po trzecie, musi dysponować umiejętnościami wykonywania zadań IOD, w tym z cech osobistych ważne jest rzetelne podejście i wysoki poziom etyki zawodowej.
Krok 3. Zawiadomienie UODO
31 lipca 2018 r. to nie tylko ostateczny termin na powołanie IOD, ale też na przekazanie informacji o tym fakcie do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zasadniczo
pracodawca ma na tę czynność 14 dni od dnia wyznaczenia (zmiany/odwołania) IOD. Może ją zrealizować w postaci elektronicznej, opatrując zawiadomienie kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP, a jeśli korzysta z pełnomocnika – załączając pełnomocnictwo udzielone w formie elektronicznej. Formularze zawiadomień są dostępne na stronie internetowej uodo.gov.pl.
W zawiadomieniu pracodawca wpisuje dane inspektora (imię i nazwisko, adres poczty elektronicznej i numer telefonu), oraz swoje dane (nazwę, adres siedziby i REGON, a gdy jest osobą fizyczną – imię i nazwisko, adres zamieszkania, firmę (nazwę) przedsiębiorstwa i adres prowadzenia działalności gospodarczej).
Krok 4. Udostępnienie danych
Ostania czynność, którą przy wyznaczaniu IOD ma do wykonania pracodawca jest niezwłoczne umieszczenie danych inspektora na stronie internetowej, a jeśli nią nie dysponuje – w sposób ogólnie dostępny w miejscu prowadzenia działalności. Powinien także wpisać jego dane kontaktowe (adres korespondencyjny, telefon kontaktowy lub dedykowany adres email) do klauzul informacyjnych dla pracowników i kandydatów do pracy, a także do rejestru czynności przetwarzania i zgłoszenia naruszenia ochrony danych (RODO).