RODO w call center
Dotychczas kontrolę nad danymi osobowymi w przedsiębiorstwie sprawował Administrator Bezpieczeństwa Informacji (ABI), natomiast w nowych przepisach unijnych została zdefiniowana na to miejsce rola Inspektora Ochrony Danych (IOD). RODO dość szczegółowo precyzuje role i obowiązki IODa. Rozważania na temat Inspektora warto zacząć od odpowiedzenia na pytanie, czy w naszym przypadku RODO nakłada obowiązek powołania takiego stanowiska w przedsiębiorstwie.
W Artykule 37 RODO możemy przeczytać, że:
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Z punktu widzenia call center, oprócz niewątpliwej odpowiedzi na pytanie, czy jesteś organem publicznym, należałoby przeanalizować kwestię przetwarzania danych na dużą skalę, regularnego i systematycznego monitorowania osób których te dane dotyczą i oczywiście przetwarzania danych szczególnych (np. o stanie zdrowia). Jeśli kwalifikujesz się do którejś z tych kategorii, jesteś zobligowany jako Administrator do powołania Inspektora. W przeciwnym przypadku RODO nie nakłada takiego obowiązku i Inspektor Danych Osobowych w przedsiębiorstwie jest rolą fakultatywną.
Inspektor z założenia musi posiadać odpowiednie kwalifikacje zawodowe, w szczególności wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych, jak i doświadczenie w tym zakresie. Inspektorem może być pracownik firmy, lub rola ta może być zlecona na zewnątrz jako usługa outsourcingowa. Po powołaniu IODa masz obowiązek opublikować dane kontaktowe inspektora i zawiadomić o jego danych organy nadzorcze RODO.
Status inspektora danych w przedsiębiorstwie również jest dość szczegółowo opisany w RODO w artykule 38. Okazuje się, że jest to bardzo niezależna funkcja, podlegająca bezpośrednio najwyższemu kierownictwu firmy. Przepisy zobowiązują Administratora aby Inspektor był właściwie i niezwłocznie wdrażany we wszystkie sprawy dotyczące danych osobowych. Nie może on również otrzymywać od nikogo instrukcji dotyczących wykonywania zadań związanych z jego rolą w przedsiębiorstwie. Jest on także osobą kontaktową dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych.
Głównym zadaniem Inspektora Danych osobowych jest w skrócie informowanie administratora i pracowników o obowiązkach związanych z RODO, i monitorowanie przestrzegania przepisów związanych z przetwarzania danych osobowych. Jest on również odpowiedzialny za współpracę z organem nadzorczym RODO.
Warto zwrócić uwagę, że mimo powołania Inspektora Danych Osobowych w przedsiębiorstwie, odpowiedzialnością za przestrzeganie przepisów i tak nadal obarczony jest Administrator Danych Osobowych.
Niniejszy artykuł nie stanowią porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Informacje zawarte w artykułach stanowią wyraz poglądów autorów na tematy związane z treścią przepisów prawa. Autorzy wpisów nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.