Kto powinien opracować wewnętrzną politykę ochrony danych osobowych?
Administrator danych osobowych (ADO) zgodnie z art. 24 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO w taki sposób aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i aktualizacji.
Treść powyższego artykułu wskazuje jednoznacznie, że wdrożenie odpowiednich środków technicznych i organizacyjnych (które mogą obejmować również wdrożenie przez administratora odpowiednich wewnętrznych polityk ochrony danych) należy do obowiązków administratora lub osób przez niego wyznaczonych.
Natomiast rolą Inspektora Ochrony Danych Osobowych jest dokonywanie oceny przyjętych przez administratora środków (w tym wewnętrznych polityk) pod kątem ich zgodności z przepisami prawa i skuteczności. Do zadań inspektora ochrony danych osobowych zgodnie z art. 39 ust 1 lit. b RODO, należy również monitorowanie przestrzegania przyjętej w dziedzinie ochrony danych osobowych polityki przez osoby upoważnione do przetwarzania danych.
W trakcie tworzenia polityk dotyczących ochrony danych ważnie jest, aby administrator zasięgał opinii i wskazówek u swojego inspektora ochrony danych (IOD), który posiada fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).