БЛОГ

Obowiązek powołania Inspektora Ochrony Danych Osobowych – kto musi powołać IOD i kiedy?

Na gruncie wprowadzenia Rozporządzenia o ochronie danych osobowych („RODO”), które wejdzie w życie z dniem 25 maja 2018 r., nie będzie już w ogóle podmiotu zwanego „ABI” (Administrator Bezpieczeństwa Informacji). Podmiotem „zajmującym się” ochroną danych osobowych stanie się Inspektor Ochrony Danych („IOD”), który będzie pełnił jeszcze ważniejszą rolę w systemie ochrony danych.

Umiejętności IOD będą musiały opierać się nie tylko na szerokiej wiedzy teoretycznej, ale również będzie on musiał posiadać niezbędne doświadczenie w celu realizacji nowych zadań. Funkcję inspektora będzie mogła pełnić osoba z personelu administracyjnego firmy, jak również osoba „z zewnątrz”, zatrudniona na podstawie odrębnej umowy.

Obowiązki Inspektora Ochrony Danych

Do zadań inspektora ochrony danych należy:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa unijnego i prawa polskiego oraz doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz przyjętych polityk, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  4. współpraca z organem nadzorczym i pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych.

Warto także zaznaczyć, że Inspektor Ochrony Danych, podobnie jak dotychczasowy ABI, będzie podlegał kontroli najwyższemu kierownictwu administratora. Natomiast obowiązkiem administratora będzie terminowe informowanie inspektora o wszelkich zadaniach związanych z ochroną danych osobowych.

Przepisy nie wskazują jakichkolwiek przesłanek odwołania IOD, jednakże brak podstawy do odwołania Inspektora nie oznacza bezwzględnego zakazu jego odwołania. Zgodnie z art. 38 ust 3 RODO Administrator lub podmiot przetwarzający mogą rozwiązać umowę z osobą pełniącą funkcje IOD, jeżeli nie wywiązuje się ona z zadań określonych w tejże umowie, dokumencie określającym zakres obowiązków lub czynności, w której zobowiązała się w umowie cywilnoprawnej.

Kto musi powołać Inspektora Ochrony Danych?

RODO przewiduje, że obowiązek powołania IOD spoczywać będzie na administratorach i podmiotach przetwarzających dane osobowe, jeśli:

  1. przetwarzania danych będzie dokonywał podmiot publiczny lub organ, przy czym wyjątek stanowić będą sądy w zakresie wypełniania przez nie wymiaru sprawiedliwości. Do takich podmiotów możemy zaliczyć organy władzy, a także inne podmioty prawa publicznego oraz inne osoby fizyczne i prawne, które realizują zadania w interesie publicznym lub sprawują władzę publiczną;
  2. główna działalność administratora lub podmiotu przetwarzającego będzie polegać na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają systematycznego i regularnego monitorowania osób, których dane dotyczą na dużą skalę;
  3. działalność administratora lub podmiotu przetwarzającego dane dotyczy wymienionych w art. 9 ust. 1 RODO szczególnych kategorii danych osobowych; są to m.in. rasa, przekonania polityczne, światopoglądowe, przynależność do związków zawodowych lub dane genetyczne, lub gdy główna działalność dotyczy danych osobowych dotyczących wyroków skazujących i naruszeń prawa o czym mowa w art. 10. RODO.

Kiedy trzeba wyznaczyć IOD?

Warto zaznaczyć, że nawet jeśli z przepisów nie będzie wynikał wyraźny obowiązek powołania Inspektora, to i tak warto rozważyć jego powołanie w przedsiębiorstwie. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji). Tym samym, w każdym przypadku, gdy z przepisów RODO nie wynika obowiązek wyznaczenia IOD, przedsiębiorca powinien i tak przeprowadzić stosowną analizę zasadności wyznaczenia IOD w swojej firmie.

Nowością wprowadzoną przez Rozporządzenie będzie możliwość wyznaczenia tylko jednego Inspektora danych przez grupę przedsiębiorców oraz przez organy lub podmioty publiczne. Jeśli chodzi natomiast o podmioty prywatne, realizujące zadania w interesie publicznym lub sprawujące władzę publiczną, działalność Inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.

Ustawa o ochronie danych osobowych przyjęta przez Sejm 10 maja 2018 r. (art. 10-11)

Na koniec warto wskazać na postanowienia doprecyzowujące kwestie związane z IOD, które zostały zawarte w przyjętej przez Sejm RP ustawie o ochronie danych osobowych. Mianowicie, ustawa ta zawiera w szczególności postanowienia przewidujące obowiązek zawiadomienia organu nadzorczego o wyznaczeniu inspektora ochrony danych w terminie 14 dni od dnia wyznaczenia ze wskazaniem imienia i nazwiska oraz adres poczty elektronicznej lub numer telefonu inspektora. Zawiadomienie obejmuje zarazem pełną nazwę i adres siedziby administratora oraz jego numer identyfikacyjny REGON. Co ważne, zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Ustawa przewiduje ponadto, że administrator udostępnia dane inspektora na swojej stronie internetowej niezwłocznie po jego wyznaczeniu, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Prawnicy Kancelarii TMH udzielają niezbędnych porad prawnych przedsiębiorcom przy wdrażaniu postanowień RODO, przeprowadzają szkolenia dla pracowników firm w zakresie przepisów o ochronie danych, jak również sporządzają szczegółowe analizy w zakresie obowiązku powołania Inspektora Danych Osobowych dla podmiotów przetwarzających i administratorów danych. Kancelaria prawna TMH świadczy usługę kompleksowych audytów dla przedsiębiorców z zakresu przepisów RODO.

Форма oбратной cвязи
Предоставленные Вами персональные данные будут обрабатываться с целью и в объеме, необходимом для ответа на запрос. Правовой основой для обработки в этом случае является ст. 6 абз. 1 букв. f GDPR, то есть законный интерес администратора в форме делового контакта с пользователями сайта. Предоставление Ваших персональных данных является добровольным, однако необходимо для рассмотрения Вашего дела. Более подробная информация об обработке Ваших персональных данных Юридической Компанией TMH приведена в Политике конфиденциальности.

ЮРИДИЧЕСКАЯ КОМПАНИЯ TMH

ул. Dominikańska 1A
35-077 Rzeszów

тел.: (17) 307 07 66

Rynek Dębnicki 6/3
30‑319 Kraków

тел.: (12) 307 09 88

Google Рейтинг
5.0
На основе отзывов: 87
×