Wyznaczenie Inspektora Ochrony Danych (IOD) – najczęściej zadawane pytania

Jedną z istotnych zmian, jakie od 25 maja 2018 r. wprowadziło Ogólne rozporządzenie o ochronie danych (RODO) jest przejście od modelu dobrowolnego wyznaczania ABI do systemu, w którym w odniesieniu do części podmiotów przewidziany jest obowiązek wyznaczenia Inspektora Ochrony Danych.

Z tego względu każda organizacja – niezależnie od tego, czy skorzystała wcześniej z możliwości powołania ABI, czy nie – powinna dokonać analizy, czy w świetle RODO spoczywa na niej taki obowiązek.

Nie wystarczy samo wyznaczenie IOD w ramach struktury organizacyjnej Administratora Danych.

Niezbędne jest również poinformowanie o wyznaczeniu IOD Prezesa Urzędu Ochrony Danych (UODO).

Poniżej przedstawiamy odpowiedzi na najczęściej pojawiające się pytania związane z wyznaczeniem IOD.

Kto może, a kto musi wyznaczyć IOD?

Generalnie powołanie Inspektora Ochrony Danych nie jest obowiązkowe. Wyjątki od tej zasady są wyliczone w RODO. Zgodnie z nowymi przepisami o ochronie danych osobowych, IOD muszą wyznaczyć:

  1. Organy lub podmioty publiczne, czyli jednostki sektora finansów publicznych np. jednostki samorządu terytorialnego, uczelnie publiczne.
  2. Przedsiębiorcy, których główna działalność polega na przetwarzaniu danych osobowych lub monitorowaniu osób, m. in.:
    • firmy świadczące usługi monitoringu
    • banki i firmy ubezpieczeniowe
    • firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki
    • dostawcy usług telefonicznych lub internetowych
  3. Przedsiębiorcy przetwarzający dane osobowe szczególnie chronione m.in. informacje o stanie zdrowia – np. firmy świadczące usługi medyczne albo dane dotyczące wyroków skazujących i czynów zabronionych.

Kto może zostać IOD?

Inspektorem może zostać osoba, która posiada:

  • fachową wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych. Nie musi być to osoba o wykształceniu prawniczym ani informatycznym. Chociaż oczywiście takie wykształcenie kierunkowe będzie dla IOD pomocne
  • fachową wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych
  • dogłębną znajomość przepisów RODO
  • wiedzę biznesową i sektorową dotycząca działalności administratora
  • odpowiednią wiedzę na temat procesów przetwarzania danych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych
  • w przypadku organów i podmiotów publicznych IOD powinien również wykazywać się znajomością procedur administracyjnych i funkcjonowania jednostki

Zgodnie z art. 37 ust. 6 RODO Inspektorem Ochrony Danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

Jakie są główne zadania IOD?

Do głównych zadań IOD należy przede wszystkim:

  • informowanie pracowników, którzy przetwarzają dane osobowe o spoczywających na nich obowiązkach i doradzanie im w tych sprawach
  • monitorowanie przestrzegania przepisów o ochronie danych w organizacji, przeprowadzanie audytów, zwiększanie świadomości wśród pracowników, szkolenie personelu
  • współpraca z Prezesem Urzędu Ochrony Danych
  • pełnienie funkcji punktu kontaktowego dla UODO

Jakie dokumenty przygotować do zawiadomienia o wyznaczeniu / aktualizacji daynch IOD?

Przed przystąpieniem do czynności zgłoszenia IOD, warto przygotować wykaz wymaganych informacji. Pozwoli to uniknąć nerwowego poszukiwania danych niezbędnych do uzupełnienia formularzy internetowych o ograniczonym czasie trwania sesji.

Mając na uwadze wskazane poniżej okoliczności, należy przygotować informacje wskazane w jednym z następujących dokumentów:

  1. Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych
  2. Zawiadomienie o zmianie danych kontaktowych dotychczasowego inspektora ochrony danych
  3. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych
  4. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych i wyznaczeniu nowego
  5. Zawiadomienie o zmianie danych administratora (posiadającego inspektora ochrony danych)

Usługa zawiadomienia o wyznaczeniu IOD jest bezpłatna (wyjątkiem jest ustanowienie pełnomocnika, który w naszym imieniu dokona zgłoszenia IOD, wiąże się to z koniecznością uiszczenia opłaty skarbowej w wysokości 17 zł).

W przypadku udzielenia pełnomocnictwa (o czym więcej poniżej) należy pamiętać o przygotowaniu dodatkowych dokumentów: potwierdzenia przelewu opłaty skarbowej oraz skanu pełnomocnictwa.

Jaka jest wymagana forma zawiadomienia Prezesa UODO o wyznaczeniu IOD?

Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu IOD jest zawiadomienie w postaci elektronicznej:

  • opatrzone kwalifikowanym podpisem elektronicznym

albo

  • podpisem potwierdzonym profilem zaufanym ePUAP (zgodnie z art. 10 ust. 6 ustawy o ochronie danych osobowych)

Rejestrowaliśmy już kilkudziesięciu IOD i wbrew naszym obawom, system rejestracji działa bardzo sprawnie. Nie licząc przeciążenia serwera BIZNES.GOV.PL na koniec sierpnia z uwagi na koniec jednego z terminów ustawowych, wszystkie nasze zgłoszenia przebiegły bezproblemowo.

Mając na uwadze wskazane poniżej okoliczności, należy skorzystać z następujących linków:

  1. Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych
  2. Zawiadomienie o zmianie danych kontaktowych dotychczasowego inspektora ochrony danych
  3. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych
  4. Zawiadomienie o odwołaniu dotychczasowego inspektora ochrony danych i wyznaczeniu nowego
  5. Zawiadomienie o zmianie danych administratora (posiadającego inspektora ochrony danych)

Zawiadomienie powinna podpisać osoba uprawniona do reprezentowania podmiotu zgłaszającego. Z uwagi na elektroniczną formę, podpis musi przybrać formę kwalifikowanego podpisu elektronicznego (szczegółowa instrukcja tutaj) lub Profilu Zaufanego. Polecamy szczególnie tę drugą opcję. Obecnie Profil Zaufany można założyć bez wychodzenia z domu. Do uwierzytelnienia naszych danych posłuży nam… konto bankowe! Wykaz banków wspierających tę funkcjonalność znajduje się tutaj.

Brak podpisu kwalifikowanego, profilu zaufanego, czy może czasu?

Udziel pełnomocnictwa!

Zgłoszenia może również dokonać ustanowiony pełnomocnik.

Ustanowienie pełnomocnika wymaga formy pisemnej podpisanej własnoręcznym podpisem osoby reprezentującej Administratora Danych. Może być to również forma elektroniczna, podpisana podpisem elektronicznym.

Każde pełnomocnictwo musi zawierać informacje:

  • kto upoważnia
  • kogo upoważnia
  • od kiedy i do kiedy upoważnia
  • do czego upoważnia

Praktyczne informacje na temat pełnomocnictwa znajdują się na stronie biznes.gov.pl: https://www.biznes.gov.pl/pl/firma/sprawy-urzedowe/chce-zalatwic-sprawe-w-urzedzie/zalatwianie-spraw-firmowych-przez-pelnomocnika

O czym pamiętać przy wysyłaniu zawiadomienia przez ustanowionego pełnomocnika?

Należy pamiętać o dołączeniu do zawiadomienia pełnomocnictwa oraz dowodu zapłaty opłaty skarbowej za pełnomocnictwo – 17 zł.

Od 1 stycznia 2020 roku opłatę skarbową należy wpłacać na jeden wspólny rachunek bankowy:

  • Centrum Obsługi Podatnika
  • 21 1030 1508 0000 0005 5000 0070

W tytule wpłaty, wraz z treścią – opłata skarbowa za pełnomocnictwo – należy zamieścić skrót PUODO, zaś dowód uiszczenia tej należności przesłać do Urzędu Ochrony Danych Osobowych jako załącznik do formularza.

Opłacie skarbowej nie podlega złożenie w postępowaniu przed Prezesem Urzędu pełnomocnictwa udzielonego na rzecz małżonka, wstępnego, zstępnego lub rodzeństwa.

Jaki jest termin zawiadomienia Prezesa UODO o wyznaczeniu IOD?

Administrator lub podmiot przetwarzający, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu IOD w ciągu 14 dni od dnia jego wyznaczenia (art. 10 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Po wysłaniu zawiadomienia drogą elektroniczną, przesłane zostanie urzędowe poświadczenie przedłożenia.

Udostępnianie informacji o IOD na stronie internetowej administratora lub podmiotu przetwarzającego - czy to konieczne?

Przepisy ustawy o ochronie danych osobowych wskazują, że podmiot, który wyznaczył inspektora, udostępnia imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (art. 11 ustawy o ochronie danych osobowych).

Grupa przedsiębiorstw, jeden Inspektor Ochrony Danych – czy to możliwe?

Istnieje możliwość, by wiele firm stanowiących grupę przedsiębiorstw (np. grupę kapitałową) wyznaczyło jednego Inspektora Ochrony Danych. O wyznaczeniu IOD każda z tych firm musi osobno zawiadomić Prezesa Urzędu Ochrony Danych Osobowych. Wspólne zawiadomienie nie jest możliwe.

Więcej pytań? Zachęcamy do zadawania w komentarzach. Najciekawsze uhonorujemy dodaniem do naszego artykułu;)

Źródła:

  1. uodo.gov.pl
  2. biznes.gov.pl

Powiązane artykuły

rodo faq
Jakie kluczowe obszary sprawdza UODO w czasie kontroli?
rodo faq
Zgodność z RODO – jak efektywnie raportować ją Zarządom?
Co ADO powinien zapewnić IODowi? (cz. II)

27 Odpowiedzi

  1. Paweł

    Dzień dobry,

    mam takie pytanie, czy można dopuścić taką sytuację, że instytucja założyła maila dla IOD z firmowym rozszerzeniem, co skutkuje tym, że oprócz związanych z jego działalnością wiadomości, dostaje także adresowane do wszystkich pracowników, np o konferencjach, publikacjach, projektach itd?

    1. Kancelaria Lex Artist

      Dzień dobry. Tak, nie widzimy w tym przeszkód, choć zalecamy ostrożność, aby ważne z punktu widzenia zadań i funkcji IOD-a maile nie zniknęły w gąszczu pozostałych. 🙂 Pozdrawiamy!

  2. Paweł

    Dziękuję 🙂 a jak szybko po ustaniu zatrudnienia powinna zostać zlikwidowana skrzynka pocztowa danego pracownika?
    Dopuszcza się jakiś okres np. miesiąca po ustaniu zatrudnienia?
    Pozdrawiam

  3. Anna

    Dzień dobry, jeśli Rada Naukowa jest z mocy ustawy organem Instytutu, to moim zdaniem podstawą przetwarzania danych osobowych w związku z członkostwem w tejże radzie jest art. 6 ust. 1 pkt c RODO, proszę o weryfikację, czy się nie mylę 🙂 pozdrawiam

  4. robert

    Dzień dobry, mam pytanie, mianowice jest firma produkcyjna – przedstawiciel na Polskę, na czele z Dyrektorem, któremu podlegają trzy zakłady produkcyjne w różnych częściach kraju, czy zatem w przypadku wyznaczenia przez Dyrektora jednego IOD, każdy zakład musi osobno zawiadomić Prezesa Urzędu Ochrony Danych Osobowych?

    1. Lex Artist

      Dzień dobry 🙂 Jeśli zakład jest własnością tej samej firmy- nie ma konieczności osobnego zawiadamiania Prezesa Urzędu Ochrony Danych Osobowych. W zgłoszeniu należy podać adres siedziby. pozdrawiamy

    1. Lex Artist

      Dzień dobry 🙂 Przepisu który dokładnie wskazuje okres przechowywania dla prac egzaminacyjnych i kolokwiów nie ma. Kwestia do uregulowania wewnętrznie przez władze uczelni np. poprzez określenie zasad archiwizacji. Prawidłowym postępowaniem byłoby przechowywanie przez prowadzącego przedmiot np. przez okres semestru, czas prowadzenia przedmiotu, a następnie przekazanie do archiwum Uczelni. Inaczej sprawa ma się z pracą dyplomową – czas jej przechowania wynosi 50 lat zgodnie z par. 15. 4. Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów pozdrawiamy

  5. Paweł

    Dzień dobry, chyba na blogu widziałem już odpowiedź na podobne pytanie, ale niestety nie umiem jej znaleźć.
    Jeśli następuje zmiana na stanowisku IODa, to czy cała zawartość skrzynki pocztowej poprzednika, powinna być dostępna dla następcy?
    pozdrawiam

    1. Lex Artist

      Dzień dobry, Generalnie tak. Warto jednak zadbać, aby była to skrzynka pocztowa służąca jedynie do korespondencji służbowej 🙂

    1. Lex Artist

      Dzień dobry, na dzień dzisiejszy sprawa sprawdzenia, nie jest łatwa. Z naszego „wywiadu” wynika, że jednym ze sposobów jest zwrócenie się do UODO z pisemną prośbą o weryfikację. Pozdrawiamy!

  6. Ewelina

    Dzień dobry, czy bank ma obowiązek monitoringu bankomatu? Czy jest to dobrowolne?Czy są przepisy prawne które regulują tę kwestię?

    1. Lex Artist

      Dzień dobry, zainstalowanie monitoringu wizyjnego jest podyktowane przede wszystkim koniecznością ochrony mienia i osób. W przypadku takiej instytucji jak Bank jest to działanie uzasadnione. Każdy administrator zgodnie z przepisami RODO ma obowiązek poinformować osoby objęte monitoringiem o celach i podstawach prawnych przetwarzania danych. Sugerujemy kontakt z wybranym Bankiem w celu uzyskania szczegółowych informacji. Pozdrawiamy!

  7. Dzień dobry,
    na stronie UODO znajdują się dwa liniki dot. zgłoszenia IOD:
    1. na podstawie RODO,
    2.na podstawie DODO.
    Który formularz należy wybrać? czy należy wysyłać 2 formularze? Kogo to dotyczy?

    1. Lex Artist

      Dzień dobry,
      wybór formularza zależy od tego na jakiej podstawie prawnej został wyznaczony IOD.
      W przypadku formularza nr 2 (na podstawie DODO) chodzi o ustawę z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
      Ustawa dotyczy właściwych organów, które działają w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego,a także wykonywania tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności.
      Jeśli Pani organizacja nie wykonuje opisanej działalności, pozostaje do wypełnienia i wysłania formularz nr 1 (na podstawie RODO).
      Pozdrawiamy 🙂

  8. Wiktoria

    Dzień dobry
    W grupie kapitałowej została podpisana umowa między spółką matką a spółką córką na usługę. Czy upoważnienie przetwarzania danych dla konkretnego pracownika spółki matki może zostać wydane przez administratora spółki córki? Czy takie upoważnienie musi być udzielone przez spółkę-matkę?

    1. Łukasz Zegarek

      Dzień dobry,

      Upoważnienie do przetwarzania danych osobowych nadaje pracodawca, a więc wobec osób zatrudnionych w spółce-matce oraz osób zatrudnionych spółce-córce należy prowadzić oddzielne rejestry upoważnień. Przepływ danych między spółkami z grupy należy również uregulować stosownymi umowami powierzenia bądź udostępnienia.

      Pozdrawiam!
      Łukasz Zegarek

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO