iSecure logo
  • pl
  • en
    • Blog

    Zgłoszenie Inspektora Ochrony Danych

    Olga Skotnicka
    Kategorie

    Na wstępie, przypomnijmy sobie kim jest Inspektor Ochrony Danych i kiedy mamy obowiązek jego powołania. Otóż Inspektor Ochrony Danych (dalej zwany IOD) zastąpił na mocy RODO – Administratora Bezpieczeństwa Informacji, czyli ABI. IOD to niewątpliwie osoba wspierająca administratora w realizacji obowiązków dotyczących ochrony danych osobowych.

    Czy każda organizacja powinna wyznaczyć IOD? Czy RODO zawsze wymaga powołania IOD?

    Nie. Sytuacje, w których istnieje obowiązek powołania inspektora ochrony danych zostały wprost wymienione w art. 37 RODO. Do takich sytuacji zaliczyć należy:

    • przetwarzanie dokonywane przez organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
    • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę
    • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

    Należy pamiętać, że to właśnie administrator zobowiązany jest przeprowadzić analizę, która ma za zadanie ustalić, czy taki obowiązek istnieje. Niewątpliwie pomocnym w tym temacie może okazać się audyt zewnętrzny, który obiektywnie oceni przesłanki wymogu powołania IOD. Pamiętajmy jednak, że pomimo, iż podmiot nie spełnia wyżej opisanych wytycznych – może, a nawet jest to rekomendowane przez Grupę Roboczą (art. 29), powołać Inspektora Ochrony Danych.

    Przyjmijmy, że w Naszej organizacji istnieje potrzeba formalna powołania IOD. Jak to zrobić, aby było poprawnie? Nie wystarczy samo wyznaczenie IOD w ramach struktury organizacyjnej administratora danych. Konieczne jest również zgłoszenie jego wyznaczenia do Prezesa UODO. Analogicznie wygląda to przy odwołaniu/lub zmianie danych IOD lub zastępcy IOD. Być może dla niektórych temat ten wydać się może banalny, jednak mimo upływu 4 lat obowiązywania RODO, wedle UODO wciąż zdarzają się przypadki, w których forma powiadomienia jest niewłaściwa.

    Kilka ważnych informacji technicznych

    1. To, jak dokonać zgłoszenia, wyjaśnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
    2. Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 www. ustawy oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) opatrzonej elektronicznym podpisem kwalifikowanym albo profilem zaufanym ePUAP przez osobę upoważnioną do reprezentowania administratora.
    3. Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
    4. Właściwy formularz elektroniczny dotyczący zarówno IOD / zastępcy IOD znajdziemy na stronie – https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/871 .
    5. Administratorzy wyznaczający IOD / zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD / zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
    6. Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
    7. Na zawiadomienie Prezesa UODO o wyznaczeniu w organizacji IOD mamy 14 dni.
    8. Zgłoszenie IOD jest bezpłatne.
    9. Istnieje również możliwość złożenia zawiadomienia przez Pełnomocnika. Jest to rozwiązanie zapewne wygodne dla Administratora zwłaszcza w przypadku, gdy podmiot decyzyjny nie ma czasu lub możliwości dokonania zawiadomienia w ustawowym 14-dniowym terminie.
    10. Pamiętajmy, że w takim przypadku koniecznym jest dołączenie do zgłoszenia wyznaczenia IOD stosownego pełnomocnictwa w formie elektronicznej. Jeżeli zgłoszenie jest dokonywane za pośrednictwem pełnomocnika, wówczas konieczne jest, poza dołączeniem pełnomocnictwa, uiszczenie opłaty skarbowej od pełnomocnictwa i dołączenie potwierdzenia jej uiszczenia do zawiadomienia i samego pełnomocnictwa.

    Jak prawidłowo dokonać opłaty?

     Opłaty należy dokonać na rachunek bankowy Centrum Obsługi Podatnika.

    1. W tytule przelewu należy podać konkretną informację, tj. „Prezes UODO – opłata za pełnomocnictwo udzielone [imię i nazwisko osoby, której udzielane jest pełnomocnictwo] w dniu [pełna data] r.
    2. Dowód uiszczenia opłaty (w formie elektronicznej) musi zostać dołączony do zgłoszenia oraz pełnomocnictwa.

    Jak wskazuje UODO, należy też pamiętać, że wraz z ponownym zgłoszeniem i przedstawieniem do niego prawidłowego dokumentu pełnomocnictwa, konieczne będzie ponowne wniesienie opłaty skarbowej. Przewiduje się jednak kilka wyjątków:

    1. Brak konieczności dokonywania opłaty skarbowej od pełnomocnictwa, jeżeli mocodawcą jest np. jednostka budżetowa czy organizacja pożytku publicznego (art. 7 pkt. 1–5 ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej).
    2. Brak konieczności przesyłania pełnomocnictwa, w przypadku, gdy ustanowiony pełnomocnik został ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

    Czy Urząd Ochrony Danych Osobowych potwierdza otrzymanie zawiadomienia?

     Dostarczone do UODO zawiadomienie jest potwierdzane Urzędowym Poświadczeniem Przedłożenia generowanym automatycznie w postaci pliku UPP.xml przez biznes.gov lub portal epuap.gov.

    Jednak ocena, czy przesłane zawiadomienie o wyznaczeniu / odwołaniu / zmianie danych IOD lub zastępcy IOD jest poprawne, należy do zgłaszającego.

    Jak przygotować się do składania zawiadomienia?

    W zawiadomieniu o wyznaczeniu IOD należy zawrzeć liczne informacje dotyczące zarówno administratora danych, jak również wyznaczonego IOD.

    W odniesieniu do ADO należy wskazać:

    • imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna,
    • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,
    • pełną nazwę oraz adres siedziby, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż osoba fizyczna,
    • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu (art. 13 ust. 3 ustawy o ochronie danych osobowych).

    W odniesieniu do IOD konieczne jest natomiast podanie:

    • imienia i nazwiska IOD,
    • adresu poczty elektronicznej lub numeru telefonu IOD (art. 13 ust. 1 ustawy o ochronie danych osobowych).

     Wspólne zgłoszenie w grupie przedsiębiorstw

    W przypadku gdy kilka podmiotów zdecydowało się na ustanowienie wspólnego IOD, obowiązek zawiadomienia Prezesa UODO o ustanowieniu takiego inspektora spoczywa z osobna na wszystkich administratorach, którzy dokonali wspólnego wyznaczenia (art. 10 ust. 5 ustawy o ochronie danych osobowych).

    Warto pamiętać również o tym, iż dane IOD muszą zostać opublikowane w Internecie. Podmiot, który wyznaczył IOD, musi niezwłocznie po jego wyznaczeniu udostępnić jego dane (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, zaś jeśli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich) – art. 11 ustawy o ochronie danych osobowych.

    Najczęściej popełniane błędy

    Na podsumowanie, chciałabym również wskazać jakie najczęściej są popełniane błędy w zawiadomieniach dotyczących IOD (informacje z UODO):

    • przesłanie zawiadomienia w postaci papierowej np. drogą listowną zamiast w postaci elektronicznej, która jest jedyną prawidłową postacią zawiadomienia zgodnie z przepisami o ochronie danych osobowych,
    • przesłanie pisma przewodniego bez formularza zawiadomienia,
    • przesłanie zawiadomienia na niewłaściwym formularzu (np. szkoła przesyła zawiadomienie na formularzu przeznaczonym dla organów przetwarzające dane na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości),
    • przesłanie zawiadomienia dotyczącego zastępcy IOD na niewłaściwym formularzu (np. przesłanie zawiadomienia na formularzu dotyczącym IOD),
    • nieprzedstawienie pełnomocnictwa bądź załączenie do zawiadomienia pełnomocnictwa bez zachowania jego formy elektronicznej, np. skan pełnomocnictwa nieopatrzony kwalifikowanym podpisem elektronicznym, podpisanie pełnomocnictwa przez jednego członka zarządu, gdy z reprezentacji w KRS wynika reprezentacja dwuosobowa.

    Jeśli zawiadomienie zawiera błędy konieczne jest jego ponowne przesłanie.

    Dlatego PUODO przypomina nam o formie w jakiej należy składać zawiadomienie.

    W przypadku, kiedy trudno jest określić potrzebę wyznaczenia IOD, rekomenduje się skorzystanie z podmiotu zewnętrznego specjalizującego się w dziedzinie audytu, który zapewne oceni wystąpienie/bądź nie takich przesłanek.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Jak przetwarzać dane – poradnik (cz. I)
    Agnieszka Rapcewicz

    Prewencyjny pomiar temperatury

    Pytanie o możliwość prewencyjnego pomiaru temperatury w dobie pandemii COVID-19 jest jednym z najczęściej zadawanych nam przez naszych klientów, z wielu różnych branż. Wychodząc naprzeciw tym oczekiwaniom zebraliśmy wjednym miejscu dotychczasowe przepisy i wytyczne odpowiednich organów, a następnie opatrzyliśmy je naszym komentarzem. Podsumowanie zostało przesłane do Związku Firm Ochrony Danych Osobowych (ZFODO) celem skonsultowania i przyjęcia jako wspólne stanowisko. Stanowisko iSecure w zakresie […]

    Czytaj więcej
    Kinga Bieniek-Zawadzka

    Rekrutacje ukryte a zgodność z RODO

    Wielu pracodawców, decydując się na zaimplementowanie procesu rekrutacji zgodnie z przepisami o ochronie danych osobowych, zastanawia się, czy właściwe jest ukrycie swojej tożsamości podczas pozyskiwania kandydatów do pracy. Takie działanie podyktowane jest często wewnętrznymi potrzebami pracodawcy. Dlatego też pracodawcy poddają ocenie dopuszczenie możliwości zorganizowania procesu rekrutacyjnego bez ujawniania szczegółowych informacji o konkretnym podmiocie. W ogłoszeniach […]

    Czytaj więcej
    Maria Lothamer

    Wykorzystywanie prywatnego komputera w celach służbowych – jak uregulować?

    Korzystanie z prywatnego komputera do celów służbowych jest dość powszechne, zwłaszcza w przypadku osób pracujących zdalnie lub prowadzących własne firmy (współpracujących na podstawie kontraktów B2B). Jest to praktyka, która pozwala pracownikom na używanie swojego prywatnego sprzętu do wykonywania obowiązków związanych z wykonywaniem obowiązków służbowych. Przedsiębiorca powinien tę kwestię uregulować w swojej organizacji i albo zakazać takiej praktyki, albo dopuścić, ale pod pewnymi warunkami.

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki