Regulamin Inspektora Ochrony Danych

Regulamin działania Inspektora Ochrony Danych w urzędzie gminy

1. Administrator, na podstawie art. 37 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, "RODO"), oraz na podstawie art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, wyznaczyła Inspektora Ochrony Danych ("IOD").

I. Obowiązki Urzędu Gminy Jabłoniowa w zakresie współpracy z IOD

1. Administrator zapewnia, aby:

1) Administrator zapewnia, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych zgodnie z Polityką Privacy by Design.

2) IOD uczestniczył w podejmowaniu decyzji mających wpływ na ochronę danych. Wszystkie niezbędne informacje należy udostępnić IOD odpowiednio wcześniej, umożliwiając mu zajęcie stanowiska;

3) Wyrażane przez IOD stanowisko było uwzględniane. W sytuacji gdyby Wójt Gminy odstępuje od rekomendacji IOD, powinien niezwłocznie na piśmie przedstawić powody Wójt Gminy lub Sekretarz Gminy;

4) W przypadku stwierdzenia naruszenia przepisów dotyczących danych osobowych bezzwłocznie konsultować się z IOD;

5) W przypadku dokonywania zakupów związanych z przetwarzaniem danych (np. zakupów monitoringu, urządzeń wykorzystujących biometrykę) Wójt Gminy skonsultowali zgodność zakupu z przepisami dotyczącymi ochrony danych osobowych;

6) IOD pełniąc funkcję w oparciu o swoją wiedzę, umiejętności i doświadczenie był wolny od instrukcji lub wpływu innych osób (tzw. zasada niezależności);

7) Nie otrzymywał instrukcji w zakresie przyjętej wykładni do przyjęcia określonego stanowiska w sprawie wykładni oraz realizacji przepisów;

8) IOD nie stosował się do sugestii innych osób, które mogą wpływać na jego ocenę lub opinię;

9) IOD nie był karany. Poprzez karę rozumie się:

a) brak albo opóźnieniu w wypłacie wynagrodzenia,

b) utrudnieniu dostępu do informacji,

c) ograniczeniu dostępu do szkoleń oferowanych pozostałym pracownikom.

2. Administrator projektując budżet niezbędny do wykonywania zadań IOD w szczególności uwzględnia:

1) Zapewnienie budżetu na szkolenia IOD oraz zakup oprogramowania;

2) Zapewnienie odpowiedniego stanowiska pracy;

3) Sprzęt komputerowy potrzebny do wykonywania jego zadań, np. komputer i materiały;

4) w sytuacji, gdy jest to niezbędne ze względu na rozmiar organizacji - odpowiedni zespół osób.

3. IOD samodzielnie decyduje o wykorzystaniu przydzielonych mu przez Administratora środków.

II. Obowiązki IOD

1. IOD realizuje zadania nałożone w RODO poprzez:

1) Informowanie Administratora oraz pracowników Urzędu, którzy przetwarzają dane osobowe o nałożonych na nich obowiązkach wynikających z ochrony danych osobowych;

2) Informowanie w zakresie spoczywających na Administratorze obowiązków;

3) Informowanie o możliwości i podstawach przetwarzania danych;

4) Pomoc w realizacji praw podmiotów danych, aby godzić je z obowiązkami Administratora;

5) Doradztwo Administratorowi, jego pracownikom w tym Kierownikowi Referatu Spraw Obywatelskich w zakresie zabezpieczenia danych;

6) Pomoc w prawidłowej redakcji klauzul informacyjnych lub innych instrumentów prawnych oraz pomoc w weryfikacji prawidłowości wdrożenia RODO u mieszkańców gminy;

7) Wspieranie Administratora lub pracowników we wdrożeniu standardów dobrych praktyk oraz mechanizmów kontrolnych służących ochronie danych;

8) Pomoc w prowadzeniu rejestru czynności przetwarzania;

9) Pomoc przy przeprowadzeniu analizy ryzyka w procesie przetwarzania danych osobowych, w tym doradzanie przy wyborze środków technicznych i organizacyjnych mających wpływ na ochronę tych danych;

10) Identyfikację incydentów bezpieczeństwa mających wpływ na ochronę danych osobowych i łagodzenia ich skutków;

11) Wspieranie Administratora przy zgłaszaniu naruszeń ochrony danych i wypełnianiu obowiązków wskazanych w art. 33 oraz 34 RODO;

12) Monitorowanie aktualnego stanu prawnego mającego wpływ na ochronę danych:

13) Współpraca z Prezesem Urzędu Ochrony Danych Osobowych;

14) Pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;

15) Regularne sprawdzanie serwerów gminnych pod kątem retencji danych osobowych.

2. IOD dla realizacji zadań wydaje niewiążące administratora opinie oraz oceny.

1) Oponie i oceny wydawane są w formie pisemnej, a w przypadkach mniejszej wagi - ustnej lub mailowej;

2) IOD nie wolno się uchylić od wydania oceny oraz opinii, niezależnie od wynikających z nich konsekwencji;

3) IOD wydając swoje opinię uwzględnia:

a) aktualny stan prawny, decyzje Prezesa UODO oraz wytyczne Europejskiej Rady Ochrony Danych;

b) wytyczne dotyczące inspektorów ochrony danych przyjętych przez powołaną na mocy art. 29 rozporządzenia RODO Europejską Grupę Roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych;

c) Kodeks Etyczny IOD (obejmującą zasadę praworządności, obiektywizmu, niezależności, unikania konfliktu interesów).

3. Realizując swoje zadania IOD:

1) Dba o godność podmiotów danych;

2) Realizując zadania zachowuje umiar;

3) Zobligowany jest do zachowania tajemnicy i poufności. Możliwe jest ujawnienie informacji wyłącznie osobom upoważnionym, stosownie do powszechnie obowiązujących przepisów prawa.

4) Obowiązek poufności i zachowania tajemnicy dotyczy również sytuacji po odwołaniu ze stanowiska IOD.