Tak – może być jeden wykonawca, który:
- przeprowadza
audyt,
- tworzy
dokumentację RODO,
- wdraża
procedury,
- a
następnie pełni funkcję IOD (Inspektora Ochrony Danych).
Prawo tego nie zakazuje, ale ważne są dwa warunki,
o których często się zapomina:
✅ 1. Brak konfliktu interesów
(art. 38 ust. 6 RODO)
IOD nie może samodzielnie określać celów i sposobów
przetwarzania danych.
To oznacza, że:
👉 Może:
- przeprowadzić
audyt,
- przygotować
dokumenty,
- rekomendować
rozwiązania,
- szkolić,
- pełnić
funkcję IOD.
❌ Nie może:
- podejmować
decyzji biznesowych, które później sam będzie nadzorował,
- być
osobą odpowiedzialną operacyjnie za systemy IT, HR, marketing,
bezpieczeństwo informacji,
- „sam
siebie kontrolować” w procesach, za które odpowiada decyzyjnie.
Klucz: wykonawca może przygotować dokumenty, o ile
to administrator decyduje, czy je przyjmuje i wdraża.
IOD nie może być osobą samodzielnie decydującą o kształcie procesów.
✅ 2. Jasne rozdzielenie ról w
umowie
Żeby uniknąć zarzutu konfliktu interesów, w umowie powinno
być jasno wskazane:
- które
działania są realizowane przed powołaniem na IOD (audyt,
wdrożenie),
- że
po wdrożeniu IOD pełni funkcję kontrolną i doradczą, a nie
wykonawczą,
- że
to administrator akceptuje dokumenty i podejmuje decyzje.
✔️ Praktyka na rynku
W małych i średnich firmach to bardzo częsty model:
jedna firma lub jedna osoba robi audyt → wdrożenie → zostaje IOD.
Pod warunkiem, że nie jest w firmie „człowiekiem od wszystkiego” i nie
podejmuje operacyjnych decyzji o przetwarzaniu.
Brak komentarzy:
Prześlij komentarz