Obowiązek powołania Inspektora Ochrony Danych Osobowych – kto musi powołać IOD i kiedy?

Na gruncie wprowadzenia Rozporządzenia o ochronie danych osobowych („RODO”), które wejdzie w życie z dniem 25 maja 2018 r., nie będzie już w ogóle podmiotu zwanego „ABI” (Administrator Bezpieczeństwa Informacji). Podmiotem „zajmującym się” ochroną danych osobowych stanie się Inspektor Ochrony Danych („IOD”), który będzie pełnił jeszcze ważniejszą rolę w systemie ochrony danych.

Umiejętności IOD będą musiały opierać się nie tylko na szerokiej wiedzy teoretycznej, ale również będzie on musiał posiadać niezbędne doświadczenie w celu realizacji nowych zadań. Funkcję inspektora będzie mogła pełnić osoba z personelu administracyjnego firmy, jak również osoba „z zewnątrz”, zatrudniona na podstawie odrębnej umowy.

Obowiązki Inspektora Ochrony Danych

Do zadań inspektora ochrony danych należy:

informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa unijnego i prawa polskiego oraz doradzanie im w tej sprawie;
monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz przyjętych polityk, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

Warto także zaznaczyć, że Inspektor Ochrony Danych, podobnie jak dotychczasowy ABI, będzie podlegał kontroli najwyższemu kierownictwu administratora. Natomiast obowiązkiem administratora będzie terminowe informowanie inspektora o wszelkich zadaniach związanych z ochroną danych osobowych.

Przepisy nie wskazują jakichkolwiek przesłanek odwołania IOD, jednakże brak podstawy do odwołania Inspektora nie oznacza bezwzględnego zakazu jego odwołania. Zgodnie z art. 38 ust 3 RODO Administrator lub podmiot przetwarzający mogą rozwiązać umowę z osobą pełniącą funkcje IOD, jeżeli nie wywiązuje się ona z zadań określonych w tejże umowie, dokumencie określającym zakres obowiązków lub czynności, w której zobowiązała się w umowie cywilnoprawnej.

Kto musi powołać Inspektora Ochrony Danych?

RODO przewiduje, że obowiązek powołania IOD spoczywać będzie na administratorach i podmiotach przetwarzających dane osobowe, jeśli:

przetwarzania danych będzie dokonywał podmiot publiczny lub organ, przy czym wyjątek stanowić będą sądy w zakresie wypełniania przez nie wymiaru sprawiedliwości. Do takich podmiotów możemy zaliczyć organy władzy, a także inne podmioty prawa publicznego oraz inne osoby fizyczne i prawne, które realizują zadania w interesie publicznym lub sprawują władzę publiczną;
główna działalność administratora lub podmiotu przetwarzającego będzie polegać na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają systematycznego i regularnego monitorowania osób, których dane dotyczą na dużą skalę;
działalność administratora lub podmiotu przetwarzającego dane dotyczy wymienionych w art. 9 ust. 1 RODO szczególnych kategorii danych osobowych; są to m.in. rasa, przekonania polityczne, światopoglądowe, przynależność do związków zawodowych lub dane genetyczne, lub gdy główna działalność dotyczy danych osobowych dotyczących wyroków skazujących i naruszeń prawa o czym mowa w art. 10. RODO.

Kiedy trzeba wyznaczyć IOD?

Warto zaznaczyć, że nawet jeśli z przepisów nie będzie wynikał wyraźny obowiązek powołania Inspektora, to i tak warto rozważyć jego powołanie w przedsiębiorstwie. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji). Tym samym, w każdym przypadku, gdy z przepisów RODO nie wynika obowiązek wyznaczenia IOD, przedsiębiorca powinien i tak przeprowadzić stosowną analizę zasadności wyznaczenia IOD w swojej firmie.

Nowością wprowadzoną przez Rozporządzenie będzie możliwość wyznaczenia tylko jednego Inspektora danych przez grupę przedsiębiorców oraz przez organy lub podmioty publiczne. Jeśli chodzi natomiast o podmioty prywatne, realizujące zadania w interesie publicznym lub sprawujące władzę publiczną, działalność Inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.

Ustawa o ochronie danych osobowych przyjęta przez Sejm 10 maja 2018 r. (art. 10-11)

Na koniec warto wskazać na postanowienia doprecyzowujące kwestie związane z IOD, które zostały zawarte w przyjętej przez Sejm RP ustawie o ochronie danych osobowych. Mianowicie, ustawa ta zawiera w szczególności postanowienia przewidujące obowiązek zawiadomienia organu nadzorczego o wyznaczeniu inspektora ochrony danych w terminie 14 dni od dnia wyznaczenia ze wskazaniem imienia i nazwiska oraz adres poczty elektronicznej lub numer telefonu inspektora. Zawiadomienie obejmuje zarazem pełną nazwę i adres siedziby administratora oraz jego numer identyfikacyjny REGON. Co ważne, zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Ustawa przewiduje ponadto, że administrator udostępnia dane inspektora na swojej stronie internetowej niezwłocznie po jego wyznaczeniu, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Jeżeli zainteresował Państwa opisany wyżej temat, zapraszamy do kontaktu z Kancelarią (tel.: +48 17 307 07 66, +48 12 307 09 88 lub e-mail: kancelaria@ktmh.pl) oraz do umówienia spotkania w biurze Kancelarii w Rzeszowie lub Krakowie. Istnieje także możliwość udzielenia pomocy zdalnej za pomocą środków porozumiewania się na odległość (tj. telekonferencja lub wideokonferencja).

Andrzej Polak

Radca prawny przy Okręgowej Izbie Radców Prawnych w Rzeszowie. Absolwent prawa na Wydziale Prawa i Administracji Uniwersytetu Rzeszowskiego. Wieloletnie doświadczenie zawodowe zdobywał już w trakcie studiów w renomowanych rzeszowskich kancelariach prawnych oraz jako konsultant i członek zarządu Uniwersyteckiej Poradni Prawnej działającej przy WPiA UR, a obecnie także jako radca prawny in-house w dużej spółce budowlanej. Z Kancelarią TMH współpracuje od 2018 roku. W pracy zajmuje się głównie prawem cywilnym, prawem spółek oraz obsługą prawną cudzoziemców. Zawodowo skupia się szczególnie na zagadnieniach z zakresu prawa budowlanego takich jak przygotowywanie, opiniowanie i negocjowanie umów o roboty budowlane, oraz prowadzenie postępowań sądowych z tego zakresu.

Kontakt

+48 570 420 373

Kancelaria Prawna TMH Rzeszów – Adwokat Tomasz Marek, Radca Prawny Marcin Hotel

ul. Dominikańska 1A
35-077 Rzeszów

Tel: (17) 307 07 66

Email: kancelaria@ktmh.pl

Procedura unieważnienia kredytu we frankach

Układ konsumencki

Dochodzenie roszczeń od Vienna Life Vienna Insurance Group (dawna Skandia)

Rozwód i Separacja: Różnice, Przesłanki, Procedury – Kompletny Przewodnik 2023

Ustawa o nieletnich – postępowanie w sprawie dziecka