Blog

Obowiązek powołania Inspektora Ochrony Danych Osobowych – kto musi powołać IOD i kiedy?

Na gruncie wprowadzenia Rozporządzenia o ochronie danych osobowych („RODO”), które wejdzie w życie z dniem 25 maja 2018 r., nie będzie już w ogóle podmiotu zwanego „ABI” (Administrator Bezpieczeństwa Informacji). Podmiotem „zajmującym się” ochroną danych osobowych stanie się Inspektor Ochrony Danych („IOD”), który będzie pełnił jeszcze ważniejszą rolę w systemie ochrony danych.

Umiejętności IOD będą musiały opierać się nie tylko na szerokiej wiedzy teoretycznej, ale również będzie on musiał posiadać niezbędne doświadczenie w celu realizacji nowych zadań. Funkcję inspektora będzie mogła pełnić osoba z personelu administracyjnego firmy, jak również osoba „z zewnątrz”, zatrudniona na podstawie odrębnej umowy.

Obowiązki Inspektora Ochrony Danych

Do zadań inspektora ochrony danych należy:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa unijnego i prawa polskiego oraz doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz przyjętych polityk, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  4. współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

Warto także zaznaczyć, że Inspektor Ochrony Danych, podobnie jak dotychczasowy ABI, będzie podlegał kontroli najwyższemu kierownictwu administratora. Natomiast obowiązkiem administratora będzie terminowe informowanie inspektora o wszelkich zadaniach związanych z ochroną danych osobowych.

Przepisy nie wskazują jakichkolwiek przesłanek odwołania IOD, jednakże brak podstawy do odwołania Inspektora nie oznacza bezwzględnego zakazu jego odwołania. Zgodnie z art. 38 ust 3 RODO Administrator lub podmiot przetwarzający mogą rozwiązać umowę z osobą pełniącą funkcje IOD, jeżeli nie wywiązuje się ona z zadań określonych w tejże umowie, dokumencie określającym zakres obowiązków lub czynności, w której zobowiązała się w umowie cywilnoprawnej.

Kto musi powołać Inspektora Ochrony Danych?

RODO przewiduje, że obowiązek powołania IOD spoczywać będzie na administratorach i podmiotach przetwarzających dane osobowe, jeśli:

  1. przetwarzania danych będzie dokonywał podmiot publiczny lub organ, przy czym wyjątek stanowić będą sądy w zakresie wypełniania przez nie wymiaru sprawiedliwości. Do takich podmiotów możemy zaliczyć organy władzy, a także inne podmioty prawa publicznego oraz inne osoby fizyczne i prawne, które realizują zadania w interesie publicznym lub sprawują władzę publiczną;
  2. główna działalność administratora lub podmiotu przetwarzającego będzie polegać na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają systematycznego i regularnego monitorowania osób, których dane dotyczą na dużą skalę;
  3. działalność administratora lub podmiotu przetwarzającego dane dotyczy wymienionych w art. 9 ust. 1 RODO szczególnych kategorii danych osobowych; są to m.in. rasa, przekonania polityczne, światopoglądowe, przynależność do związków zawodowych lub dane genetyczne, lub gdy główna działalność dotyczy danych osobowych dotyczących wyroków skazujących i naruszeń prawa o czym mowa w art. 10. RODO.

Kiedy trzeba wyznaczyć IOD?

Warto zaznaczyć, że nawet jeśli z przepisów nie będzie wynikał wyraźny obowiązek powołania Inspektora, to i tak warto rozważyć jego powołanie w przedsiębiorstwie. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji). Tym samym, w każdym przypadku, gdy z przepisów RODO nie wynika obowiązek wyznaczenia IOD, przedsiębiorca powinien i tak przeprowadzić stosowną analizę zasadności wyznaczenia IOD w swojej firmie.

Nowością wprowadzoną przez Rozporządzenie będzie możliwość wyznaczenia tylko jednego Inspektora danych przez grupę przedsiębiorców oraz przez organy lub podmioty publiczne. Jeśli chodzi natomiast o podmioty prywatne, realizujące zadania w interesie publicznym lub sprawujące władzę publiczną, działalność Inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.

Ustawa o ochronie danych osobowych przyjęta przez Sejm 10 maja 2018 r. (art. 10-11)

Na koniec warto wskazać na postanowienia doprecyzowujące kwestie związane z IOD, które zostały zawarte w przyjętej przez Sejm RP ustawie o ochronie danych osobowych. Mianowicie, ustawa ta zawiera w szczególności postanowienia przewidujące obowiązek zawiadomienia organu nadzorczego o wyznaczeniu inspektora ochrony danych w terminie 14 dni od dnia wyznaczenia ze wskazaniem imienia i nazwiska oraz adres poczty elektronicznej lub numer telefonu inspektora. Zawiadomienie obejmuje zarazem pełną nazwę i adres siedziby administratora oraz jego numer identyfikacyjny REGON. Co ważne, zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Ustawa przewiduje ponadto, że administrator udostępnia dane inspektora na swojej stronie internetowej niezwłocznie po jego wyznaczeniu, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Prawnicy Kancelarii TMH udzielają niezbędnych porad prawnych przedsiębiorcom przy wdrażaniu postanowień RODO, przeprowadzają szkolenia dla pracowników firm w zakresie przepisów o ochronie danych, jak również sporządzają szczegółowe analizy w zakresie obowiązku powołania Inspektora Danych Osobowych dla podmiotów przetwarzających i administratorów danych. Kancelaria prawna TMH świadczy usługę kompleksowych audytów dla przedsiębiorców z zakresu przepisów RODO.

Kontakt
Podane przez Państwa dane osobowe przetwarzane będą w celu i w zakresie niezbędnym do udzielenia odpowiedzi na przesłane zapytanie. Podstawą prawną przetwarzania jest w tym przypadku art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora w postaci kontaktu biznesowego z użytkownikami strony. Udostępnienie przez Państwa danych jest dobrowolne, jednakże jest ono niezbędne do udzielenia odpowiedzi na pytanie. Więcej informacji na temat przetwarzania Państwa danych osobowych przez Kancelarię TMH zawarto w Polityce prywatności.

Kancelaria Prawna TMH

ul. Dominikańska 1A,
35-077 Rzeszów

Tel: (17) 307 07 66

Rynek Dębnicki 6/3,
30‑319 Kraków

Tel: (12) 307 09 88

Ocena Google
5.0
Na podstawie 63 recenzji
×