Inspektor Ochrony Danych – kim jest i jakie powinien mieć umiejętności?

RODO nakłada na niektórych administratorów danych osobowych obowiązek powołania Inspektora Ochrony Danych Osobowych (IOD).

IOD to osoba powołana przez administratora, lub podmiot przetwarzający w celu służenia pomocą w kwestii przestrzegania w firmie, lub organizacji przepisów o ochronie danych osobowych. To pośrednik między UODO, podmiotem przetwarzającym i osobą, której dane są przetwarzane. Osoba na tym stanowisku pomaga w ocenie ryzyka, czy skutku ochrony danych osobowych, czyli realizuje zasadę ochrony danych osobowych.

Jak wybrać IOD?

Jeżeli nie wiedzą Państwo kto może zostać Inspektorem Ochrony Danych Osobowych, w jaki sposób go wybrać, oraz jakie ta osoba powinna mieć umiejętności z pomocą przychodzi postanowienie z 20 września 2018 roku.

Francuski organ nadzorczy w rozumieniu RODO (CNIL), przyjął dwa postanowienia dotyczące certyfikacji inspektorów ochrony danych. W pierwszym z postanowień nich ustanowiono wymogi które muszą być spełnione przez podmioty, które chciałyby być upoważnione przez CNIL do wydawania certyfikatów inspektorom. Drugim dokumentem jest lista warunków, które musi spełnić kandydat na inspektora ochrony danych. Drugie postanowienie jest szczególnie ważne, ponieważ przedstawia 17 konkretnych wymogów, które określają umiejętności i posiadanie specjalistycznej wiedzy przez kandydata na inspektora ochrony danych.

Postanowienie numer 2018-318 z dnia 20 września 2018 r. w sprawie przyjęcia kryteriów certyfikacji kompetencji inspektora ochrony danych (IOD)

Kategoria 1. Warunki wstępne, który musi spełnić kandydat do certyfikacji.
Wymóg 1.1. Aby móc przystąpić do etapu oceny, kandydat wypełnia jeden z następujących warunków wstępnych:
– wykazuje swoje doświadczenie zawodowe trwające minimum 2 lata w obszarze projektu, czynności lub zadań związanych z funkcją IOD, zajmującego się ochroną danych osobowych;
lub
– wykazuje swoje doświadczenie zawodowe trwające minimum 2 lata, jak również odbycie szkolenia trwającego przynajmniej 35 godzin w obszarze ochrony danych osobowych, zapewnionego przez podmiot organizujący szkolenia.
Kategoria 2. Kompetencje oraz wiedza

Wymóg 2.1. Kandydat zna oraz rozumie zasady legalnego przetwarzania, ograniczenia celu, minimalizacji danych, poprawności danych, ograniczonego okresu przechowywania danych, integralności, poufności oraz rozliczalności.

Wymóg 2.2. Kandydat potrafi zidentyfikować podstawę prawną przetwarzania.

Wymóg 2.3. Kandydat potrafi określić odpowiednie środki oraz treść informacji podawanych osobom, których dane dotyczą.

Wymóg 2.4. Kandydat potrafi wprowadzić procedurę odbierania oraz zarządzania wnioskami osób, których dane dotyczą dotyczącymi wykonywania ich praw.

Wymóg 2.5. Kandydat zna ramy prawne dotyczące powierzenia w kontekście przetwarzania danych osobowych.

Wymóg 2.6. Kandydat jest w stanie zidentyfikować przekazanie danych poza Unię Europejską oraz potrafi zdecydować, który z prawnych instrumentów przekazania należy zastosować.

Wymóg 2.7. Kandydat potrafi napisać oraz wdrożyć politykę zawierającą wewnętrzne reguły w obszarze ochrony danych.

Wymóg. 2.8. Kandydat potrafi zorganizować oraz brać udział w audytach w obszarze ochrony danych.

Wymóg 2.9. Kandydat zna zawartość rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania oraz dokumentacji dotyczącej naruszeń ochrony danych, jak również dokumentacji koniecznej w celu wykazania zgodności z rozporządzeniem w obszarze ochrony danych.

Wymóg 2.10. Kandydat potrafi określić środki ochrony danych w fazie projektowania oraz domyślnej ochrony danych dostosowanych do ryzyka oraz charakteru operacji przetwarzania.

Wymóg 2.11. Kandydat ma wiedzę pozwalającą uczestniczyć w określeniu środków bezpieczeństwa dostosowanych do ryzyka oraz charakteru operacji przetwarzania.

Wymóg 2.12. Kandydat potrafi zidentyfikować naruszenia ochrony danych osobowych, wymagające zgłoszenia organowi nadzorczemu oraz poinformowania osób, których dane dotyczą.

Wymóg 2.13. Kandydat potrafi określić czy należy przeprowadzić ocenę skutków dla ochrony danych czy nie oraz sprawdzić jej przeprowadzenie.

Wymóg 2.14. Kandydat potrafi udzielać rad w obszarze oceny skutków dla ochrony danych (w szczególności w odniesieniu do metodologii, ewentualnego powierzenia przetwarzania, środków organizacyjnych oraz technicznych, które należy przyjąć).

Wymóg 2.15. Kandydat potrafi zarządzać stosunkami z organami kontrolnymi w ramach udzielania odpowiedzi na ich pytania oraz ułatwiania ich działań (w szczególności rozpatrywanie skarg oraz kontrola).

Wymóg 2.16. Kandydat potrafi przygotować, wprowadzić oraz jest w stanie przeprowadzać program szkoleń oraz uczulania pracowników oraz kierownictwa na kwestie związane z ochroną danych.

Wymóg 2.16. Kandydat potrafi zapewnić możliwość prześledzenia swoich działań, w szczególności za pomocą narzędzi temu służących lub zestawień rocznych.

Przewodnicząca: I. Falque-Pierrotin

W związku z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych dotyczących przetwarzania danych osobowych i w aspekcie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE opublikowanie tych postanowień znacznie ułatwi przygotowanie pracowników do objęcia stanowiska IOD.

Od 13 października nowe obowiązki dla osób uprawnionych do reprezentacji spółki

Od 13 października 2019 Minister Finansów będzie prowadził Centralny Rejestr Beneficjentów Rzeczywistych (dalej: CRBR), który będzie służyć weryfikacji struktury właścicielskiej spółek. Co się za tym kryje?

Za sprawą utworzenia Centralnego Rejestru Beneficjentów Rzeczywistych, spółki muszą wskazać swojego beneficjenta rzeczywistego, a następnie elektronicznie zgłosić go do CRBR (zgłoszenie będzie opatrywane kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP).

Kim jest beneficjent rzeczywisty?

Definicja beneficjenta rzeczywistego jest rozbudowana. Beneficjentem jest osoba fizyczna, która sprawuje bezpośrednio lub pośrednio kontrolę nad daną spółką. Tak naprawdę, poprawne wskazanie beneficjenta rzeczywistego może być jednak utrudnione w momencie rozbudowanej struktury właścicielskiej (np. rozproszony akcjonariat).

Samo zgłoszenie to nie wszystko – w razie jakiejkolwiek zmiany beneficjenta rzeczywistego, w terminie 7 dni od jej wystąpienia trzeba będzie dokonać elektronicznej aktualizacji w samym rejestrze.

Rejestr będzie publiczny, a dostęp do niego bezpłatny i będzie obejmował takie dane beneficjenta rzeczywistego jak:

  • imię i nazwisko,
  • obywatelstwo,
  • państwo zamieszkania,
  • numer PESEL albo datę urodzenia,
  • informację o wielkości i charakterze udziału lub przysługujących mu uprawnieniach.

Kogo dotyczy obowiązek?

Obowiązek zgłoszenia do rejestru będzie dotyczył znacznej większości spółek, tj. obejmie:

  • spółki jawne
  • spółki komandytow
  • spółki komandytowo-akcyjne
  • spółki z ograniczoną odpowiedzialnością
  • spółki akcyjne (z wyjątkiem spółek publicznych)

Samego zgłoszenia będzie dokonywała osoba uprawniona do reprezentacji Spółki pod rygorem odpowiedzialności osobistej.

Kogo spotkają sankcje?

Niezgłoszenie, ale i zgłoszenie nieprawdziwych danych beneficjenta rzeczywistego do CRBR będzie wiązało się z sankcjami. Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu określa, że za niedopełnienie obowiązków ponosić będą:

  • osoby reprezentujące spółki – za złożenie fałszywego oświadczenia o prawdziwości informacji zgłaszanych do Rejestru (odpowiedzialność karna) oraz za szkodę wyrządzoną niezgłoszeniem w terminie / zgłoszeniem nieprawdziwych danych (odpowiedzialność odszkodowawcza)
  • spółki – za niezgłoszenie informacji w wymaganym terminie (odpowiedzialność finansowa do 1 mln złotych)

Czasu coraz mniej!

Stworzone spółki po 13.10.2019 r. będą miały tylko 7 dni na zgłoszenie beneficjenta rzeczywistego do CRBR. Spółki wpisane już do Krajowego Rejestru Sądowego przed 13.10.2019 r. będą miały 6 miesięcy, tj. do dnia 13.04.2020 r. na dokonanie zgłoszenia do CRBR.

W momencie, gdy obowiązek ustalenia beneficjenta rzeczywistego będzie dotyczył spółek z rozbudowaną strukturą właścicielską, może wiązać się to ze złożoną weryfikacją osób, które sprawują kontrolę nad spółką. Sądzimy, że już dziś warto przygotowywać się do wpisu, który będzie zamieszczony w Centralnym Rejestrze Beneficjentów Rzeczywistych.