Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Wyznaczenie Inspektora Ochrony Danych (IOD) – najczęściej zadawane pytania

Jedną z istotnych zmian, jakie od 25 maja 2018 r. wprowadziło Ogólne rozporządzenie o ochronie danych (RODO) jest przejście od modelu dobrowolnego wyznaczania ABI do systemu, w którym w odniesieniu do części podmiotów przewidziany jest obowiązek wyznaczenia Inspektora Ochrony Danych.

Z tego względu każda organizacja – niezależnie od tego, czy skorzystała wcześniej z możliwości powołania ABI, czy nie – powinna dokonać analizy, czy w świetle RODO spoczywa na niej taki obowiązek.

Nie wystarczy samo wyznaczenie IOD w ramach struktury organizacyjnej Administratora Danych.

Niezbędne jest również poinformowanie o wyznaczeniu IOD Prezesa Urzędu Ochrony Danych (UODO).

Poniżej przedstawiamy odpowiedzi na najczęściej pojawiające się pytania związane z wyznaczeniem IOD.

Kto może, a kto musi wyznaczyć IOD?

Generalnie powołanie Inspektora Ochrony Danych nie jest obowiązkowe. Wyjątki od tej zasady są wyliczone w RODO. Zgodnie z nowymi przepisami o ochronie danych osobowych, IOD muszą wyznaczyć:

  1. Organy lub podmioty publiczne, czyli jednostki sektora finansów publicznych np. jednostki samorządu terytorialnego, uczelnie publiczne.
  2. Przedsiębiorcy, których główna działalność polega na przetwarzaniu danych osobowych lub monitorowaniu osób, m. in.:
    • firmy świadczące usługi monitoringu
    • banki i firmy ubezpieczeniowe
    • firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki
    • dostawcy usług telefonicznych lub internetowych
  3. Przedsiębiorcy przetwarzający dane osobowe szczególnie chronione m.in. informacje o stanie zdrowia – np. firmy świadczące usługi medyczne albo dane dotyczące wyroków skazujących i czynów zabronionych.

Kto może zostać IOD?

Inspektorem może zostać osoba, która posiada:

  • fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych. Nie musi być to osoba o wykształceniu prawniczym ani informatycznym. Chociaż oczywiście takie wykształcenie kierunkowe będzie dla IOD pomocne
  • fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych
  • dogłębną znajomość przepisów RODO
  • wiedzę biznesową i sektorową dotycząca działalności administratora
  • odpowiednią wiedzę na temat procesów przetwarzania danych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych
  • w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki

Zgodnie z art. 37 ust. 6 RODO Inspektorem Ochrony Danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

Jakie są główne zadania IOD?

Do głównych zadań IOD należy przede wszystkim:

  • informowanie pracowników, którzy przetwarzają dane osobowe o spoczywających na nich obowiązkach i doradzanie im w tych sprawach
  • monitorowanie przestrzegania przepisów o ochronie danych w organizacji, przeprowadzanie audytów, zwiększanie świadomości wśród pracowników, szkolenie personelu
  • współpraca z Prezesem Urzędu Ochrony Danych
  • pełnienie funkcji punktu kontaktowego dla UODO

Jakie dokumenty przygotować do zawiadomienia o wyznaczeniu / aktualizacji daynch IOD?

Przed przystąpieniem do czynności zgłoszenia IOD, warto przygotować wykaz wymaganych informacji. Pozwoli to uniknąć nerwowego poszukiwania danych niezbędnych do uzupełnienia formularzy internetowych o ograniczonym czasie trwania sesji.

Mając na uwadze wskazane poniżej okoliczności, należy przygotować informacje wskazane w jednym z następujących dokumentów:

  1. Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych
  2. Zawiadomienie o zmianie danych kontaktowych dotychczasowego inspektora ochrony danych
  3. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych
  4. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych i wyznaczeniu nowego
  5. Zawiadomienie o zmianie danych administratora (posiadającego inspektora ochrony danych)

Usługa zawiadomienia o wyznaczeniu IOD jest bezpłatna (wyjątkiem jest ustanowienie pełnomocnika, który w naszym imieniu dokona zgłoszenia IOD, wiąże się to z koniecznością uiszczenia opłaty skarbowej w wysokości 17 zł).

W przypadku udzielenia pełnomocnictwa (o czym więcej poniżej) należy pamiętać o przygotowaniu dodatkowych dokumentów: potwierdzenia przelewu opłaty skarbowej oraz skanu pełnomocnictwa.

Jaka jest wymagana forma zawiadomienia Prezesa UODO o wyznaczeniu IOD?

Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu IOD jest zawiadomienie w postaci elektronicznej:

  • opatrzone kwalifikowanym podpisem elektronicznym

albo

  • podpisem potwierdzonym profilem zaufanym ePUAP (zgodnie z art. 10 ust. 6 ustawy o ochronie danych osobowych)

Rejestrowaliśmy już kilkudziesięciu IOD i wbrew naszym obawom, system rejestracji działa bardzo sprawnie. Nie licząc przeciążenia serwera BIZNES.GOV.PL na koniec sierpnia z uwagi na koniec jednego z terminów ustawowych, wszystkie nasze zgłoszenia przebiegły bezproblemowo.

Mając na uwadze wskazane poniżej okoliczności, należy skorzystać z następujących linków:

  1. Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych
  2. Zawiadomienie o zmianie danych kontaktowych dotychczasowego inspektora ochrony danych
  3. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych
  4. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych i wyznaczeniu nowego
  5. Zawiadomienie o zmianie danych administratora (posiadającego inspektora ochrony danych)

Zawiadomienie powinna podpisać osoba uprawniona do reprezentowania podmiotu zgłaszającego. Z uwagi na elektroniczną formę, podpis musi przybrać formę kwalifikowanego podpisu elektronicznego (szczegółowa instrukcja tutaj) lub Profilu Zaufanego. Polecamy szczególnie tę drugą opcję. Obecnie Profil Zaufany można założyć bez wychodzenia z domu. Do uwierzytelnienia naszych danych posłuży nam… konto bankowe! Wykaz banków wspierających tę funkcjonalność znajduje się tutaj.

Brak podpisu kwalifikowanego, profilu zaufanego, czy może czasu?

Udziel pełnomocnictwa!

Zgłoszenia może również dokonać ustanowiony pełnomocnik.

Ustanowienie pełnomocnika wymaga formy pisemnej podpisanej własnoręcznym podpisem osoby reprezentującej Administratora Danych. Może być to również forma elektroniczna, podpisana podpisem elektronicznym.

Każde pełnomocnictwo musi zawierać informacje:

  • kto upoważnia
  • kogo upoważnia
  • od kiedy i do kiedy upoważnia
  • do czego upoważnia

Praktyczne informacje na temat pełnomocnictwa znajdują się na stronie biznes.gov.pl: https://www.biznes.gov.pl/pl/firma/sprawy-urzedowe/chce-zalatwic-sprawe-w-urzedzie/zalatwianie-spraw-firmowych-przez-pelnomocnika

O czym pamiętać przy wysyłaniu zawiadomienia przez ustanowionego pełnomocnika?

Należy pamiętać o dołączeniu do zawiadomienia pełnomocnictwa oraz dowodu zapłaty opłaty skarbowej za pełnomocnictwo – 17 zł.

Opłatę skarbową uiszcza się w kasie lub na konto:

  • Urzędu Dzielnicy Śródmieście m. st. Warszawy, ul. Nowogrodzka 43, 00 – 691 Warszawa,
  • Nr konta: 60 1030 1508 0000 0005 5001 0038.

W tytule wpłaty, wraz z treścią – opłata skarbowa za pełnomocnictwo – należy zamieścić skrót PUODO, zaś dowód uiszczenia tej należności przesłać do Urzędu Ochrony Danych Osobowych jako załącznik do formularza.

Opłacie skarbowej nie podlega złożenie w postępowaniu przed Prezesem Urzędu pełnomocnictwa udzielonego na rzecz małżonka, wstępnego, zstępnego lub rodzeństwa

Jaki jest termin zawiadomienia Prezesa UODO o wyznaczeniu IOD?

Administrator lub podmiot przetwarzający, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu IOD w ciągu 14 dni od dnia jego wyznaczenia (art. 10 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Po wysłaniu zawiadomienia drogą elektroniczną, przesłane zostanie urzędowe poświadczenie przedłożenia.

Udostępnianie informacji o IOD na stronie internetowej administratora lub podmiotu przetwarzającego - czy to konieczne?

Przepisy ustawy o ochronie danych osobowych wskazują, że podmiot, który wyznaczył inspektora, udostępnia imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (art. 11 ustawy o ochronie danych osobowych).

Grupa przedsiębiorstw, jeden Inspektor Ochrony Danych – czy to możliwe?

Istnieje możliwość, by wiele firm stanowiących grupę przedsiębiorstw (np. grupę kapitałową) wyznaczyło jednego Inspektora Ochrony Danych. O wyznaczeniu IOD każda z tych firm musi osobno zawiadomić Prezesa Urzędu Ochrony Danych Osobowych. Wspólne zawiadomienie nie jest możliwe.

Więcej pytań? Zachęcamy do zadawania w komentarzach. Najciekawsze uhonorujemy dodaniem do naszego artykułu;)

Źródła:

  1. uodo.gov.pl
  2. biznes.gov.pl

Powiązane artykuły

RODO dokumentacja w praktyce, czyli zjedz tego słonia po kawałku
Pozostał rok na dostosowanie się do systemu RODO/GDPR
Zgoda na przetwarzanie danych osobowych według RODO

Zostaw odpowiedź