iSecure logo
Blog

Zgłoszenie Inspektora Ochrony Danych

Na wstępie, przypomnijmy sobie kim jest Inspektor Ochrony Danych i kiedy mamy obowiązek jego powołania. Otóż Inspektor Ochrony Danych (dalej zwany IOD) zastąpił na mocy RODO – Administratora Bezpieczeństwa Informacji, czyli ABI. IOD to niewątpliwie osoba wspierająca administratora w realizacji obowiązków dotyczących ochrony danych osobowych.

Czy każda organizacja powinna wyznaczyć IOD? Czy RODO zawsze wymaga powołania IOD?

Nie. Sytuacje, w których istnieje obowiązek powołania inspektora ochrony danych zostały wprost wymienione w art. 37 RODO. Do takich sytuacji zaliczyć należy:

  • przetwarzanie dokonywane przez organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę
  • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Należy pamiętać, że to właśnie administrator zobowiązany jest przeprowadzić analizę, która ma za zadanie ustalić, czy taki obowiązek istnieje. Niewątpliwie pomocnym w tym temacie może okazać się audyt zewnętrzny, który obiektywnie oceni przesłanki wymogu powołania IOD. Pamiętajmy jednak, że pomimo, iż podmiot nie spełnia wyżej opisanych wytycznych – może, a nawet jest to rekomendowane przez Grupę Roboczą (art. 29), powołać Inspektora Ochrony Danych.

Przyjmijmy, że w Naszej organizacji istnieje potrzeba formalna powołania IOD. Jak to zrobić, aby było poprawnie? Nie wystarczy samo wyznaczenie IOD w ramach struktury organizacyjnej administratora danych. Konieczne jest również zgłoszenie jego wyznaczenia do Prezesa UODO. Analogicznie wygląda to przy odwołaniu/lub zmianie danych IOD lub zastępcy IOD. Być może dla niektórych temat ten wydać się może banalny, jednak mimo upływu 4 lat obowiązywania RODO, wedle UODO wciąż zdarzają się przypadki, w których forma powiadomienia jest niewłaściwa.

Kilka ważnych informacji technicznych

  1. To, jak dokonać zgłoszenia, wyjaśnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
  2. Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 www. ustawy oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) opatrzonej elektronicznym podpisem kwalifikowanym albo profilem zaufanym ePUAP przez osobę upoważnioną do reprezentowania administratora.
  3. Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
  4. Właściwy formularz elektroniczny dotyczący zarówno IOD / zastępcy IOD znajdziemy na stronie – https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/871 .
  5. Administratorzy wyznaczający IOD / zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD / zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
  6. Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
  7. Na zawiadomienie Prezesa UODO o wyznaczeniu w organizacji IOD mamy 14 dni.
  8. Zgłoszenie IOD jest bezpłatne.
  9. Istnieje również możliwość złożenia zawiadomienia przez Pełnomocnika. Jest to rozwiązanie zapewne wygodne dla Administratora zwłaszcza w przypadku, gdy podmiot decyzyjny nie ma czasu lub możliwości dokonania zawiadomienia w ustawowym 14-dniowym terminie.
  10. Pamiętajmy, że w takim przypadku koniecznym jest dołączenie do zgłoszenia wyznaczenia IOD stosownego pełnomocnictwa w formie elektronicznej. Jeżeli zgłoszenie jest dokonywane za pośrednictwem pełnomocnika, wówczas konieczne jest, poza dołączeniem pełnomocnictwa, uiszczenie opłaty skarbowej od pełnomocnictwa i dołączenie potwierdzenia jej uiszczenia do zawiadomienia i samego pełnomocnictwa.

Jak prawidłowo dokonać opłaty?

 Opłaty należy dokonać na rachunek bankowy Centrum Obsługi Podatnika.

  1. W tytule przelewu należy podać konkretną informację, tj. „Prezes UODO – opłata za pełnomocnictwo udzielone [imię i nazwisko osoby, której udzielane jest pełnomocnictwo] w dniu [pełna data] r.
  2. Dowód uiszczenia opłaty (w formie elektronicznej) musi zostać dołączony do zgłoszenia oraz pełnomocnictwa.

Jak wskazuje UODO, należy też pamiętać, że wraz z ponownym zgłoszeniem i przedstawieniem do niego prawidłowego dokumentu pełnomocnictwa, konieczne będzie ponowne wniesienie opłaty skarbowej. Przewiduje się jednak kilka wyjątków:

  1. Brak konieczności dokonywania opłaty skarbowej od pełnomocnictwa, jeżeli mocodawcą jest np. jednostka budżetowa czy organizacja pożytku publicznego (art. 7 pkt. 1–5 ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej).
  2. Brak konieczności przesyłania pełnomocnictwa, w przypadku, gdy ustanowiony pełnomocnik został ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Czy Urząd Ochrony Danych Osobowych potwierdza otrzymanie zawiadomienia?

 Dostarczone do UODO zawiadomienie jest potwierdzane Urzędowym Poświadczeniem Przedłożenia generowanym automatycznie w postaci pliku UPP.xml przez biznes.gov lub portal epuap.gov.

Jednak ocena, czy przesłane zawiadomienie o wyznaczeniu / odwołaniu / zmianie danych IOD lub zastępcy IOD jest poprawne, należy do zgłaszającego.

Jak przygotować się do składania zawiadomienia?

W zawiadomieniu o wyznaczeniu IOD należy zawrzeć liczne informacje dotyczące zarówno administratora danych, jak również wyznaczonego IOD.

W odniesieniu do ADO należy wskazać:

  • imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna,
  • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,
  • pełną nazwę oraz adres siedziby, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż osoba fizyczna,
  • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu (art. 13 ust. 3 ustawy o ochronie danych osobowych).

W odniesieniu do IOD konieczne jest natomiast podanie:

  • imienia i nazwiska IOD,
  • adresu poczty elektronicznej lub numeru telefonu IOD (art. 13 ust. 1 ustawy o ochronie danych osobowych).

 Wspólne zgłoszenie w grupie przedsiębiorstw

W przypadku gdy kilka podmiotów zdecydowało się na ustanowienie wspólnego IOD, obowiązek zawiadomienia Prezesa UODO o ustanowieniu takiego inspektora spoczywa z osobna na wszystkich administratorach, którzy dokonali wspólnego wyznaczenia (art. 10 ust. 5 ustawy o ochronie danych osobowych).

Warto pamiętać również o tym, iż dane IOD muszą zostać opublikowane w Internecie. Podmiot, który wyznaczył IOD, musi niezwłocznie po jego wyznaczeniu udostępnić jego dane (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, zaś jeśli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich) – art. 11 ustawy o ochronie danych osobowych.

Najczęściej popełniane błędy

Na podsumowanie, chciałabym również wskazać jakie najczęściej są popełniane błędy w zawiadomieniach dotyczących IOD (informacje z UODO):

  • przesłanie zawiadomienia w postaci papierowej np. drogą listowną zamiast w postaci elektronicznej, która jest jedyną prawidłową postacią zawiadomienia zgodnie z przepisami o ochronie danych osobowych,
  • przesłanie pisma przewodniego bez formularza zawiadomienia,
  • przesłanie zawiadomienia na niewłaściwym formularzu (np. szkoła przesyła zawiadomienie na formularzu przeznaczonym dla organów przetwarzające dane na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości),
  • przesłanie zawiadomienia dotyczącego zastępcy IOD na niewłaściwym formularzu (np. przesłanie zawiadomienia na formularzu dotyczącym IOD),
  • nieprzedstawienie pełnomocnictwa bądź załączenie do zawiadomienia pełnomocnictwa bez zachowania jego formy elektronicznej, np. skan pełnomocnictwa nieopatrzony kwalifikowanym podpisem elektronicznym, podpisanie pełnomocnictwa przez jednego członka zarządu, gdy z reprezentacji w KRS wynika reprezentacja dwuosobowa.

Jeśli zawiadomienie zawiera błędy konieczne jest jego ponowne przesłanie.

Dlatego PUODO przypomina nam o formie w jakiej należy składać zawiadomienie.

W przypadku, kiedy trudno jest określić potrzebę wyznaczenia IOD, rekomenduje się skorzystanie z podmiotu zewnętrznego specjalizującego się w dziedzinie audytu, który zapewne oceni wystąpienie/bądź nie takich przesłanek.

Pobierz wpis w wersji pdf

Podobne wpisy:

Omówienie wytycznych CNIL w sprawie stosowania cookiewalls

Wstęp Niniejszy artykuł ma na celu omówienie wytycznych CNIL – Commission Nationale de l’Informatique et des Libertés, poruszających tematykę cookiewalls o charakterze paywalls. Należy zaznaczyć, iż CNIL zaproponował również kryteria oceny, która pozwala na weryfikację czy stosowanie cookiewalls jest dopuszczalne. Cookiewalls Jako cookiewall należy rozumieć taki banner cookie, który wymaga, by użytkownik końcowy odwiedzający stronę, […]

Udostępnienie danych osobowych do organów publicznych – czy pracodawca może to zrobić?

Jednym z wielu wyzwań, z którym mierzą się pracodawcy, zapewniając pełną zgodność organizacji z przepisami ogólnego rozporządzenie o ochronie danych osobowych (RODO), jest konieczność udostępniania danych osobowych pracowników do organów publicznych tj. Policja, Prokuratura, Sąd, Urzędy. Przy dużej organizacji zatrudniającej po kilkadziesiąt, a nawet kilkaset pracowników takie sytuacje występują dość regularnie. Czy pracodawca może udostępnić […]

Czy pracodawca może kontrolować skrzynkę pocztową pracownika?

Każdy z nas wykonując pracę na rzecz swojego pracodawcy, bez względu na formę zatrudnienia, korzysta ze skrzynki pocztowej. Skrzynka pocztowa i domena w większości przypadków dostarczana jest przez pracodawcę. Co do zasady, służbowa skrzynka pocztowa jest wykorzystywana w celu realizacji bieżących obowiązków służbowych przez pracownika. Korespondencja i komunikacja mailowa są dzisiaj jednym z najpowszechniejszych form […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki