iSecure logo
Blog

Zgłoszenie Inspektora Ochrony Danych

Na wstępie, przypomnijmy sobie kim jest Inspektor Ochrony Danych i kiedy mamy obowiązek jego powołania. Otóż Inspektor Ochrony Danych (dalej zwany IOD) zastąpił na mocy RODO – Administratora Bezpieczeństwa Informacji, czyli ABI. IOD to niewątpliwie osoba wspierająca administratora w realizacji obowiązków dotyczących ochrony danych osobowych.

Czy każda organizacja powinna wyznaczyć IOD? Czy RODO zawsze wymaga powołania IOD?

Nie. Sytuacje, w których istnieje obowiązek powołania inspektora ochrony danych zostały wprost wymienione w art. 37 RODO. Do takich sytuacji zaliczyć należy:

  • przetwarzanie dokonywane przez organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę
  • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Należy pamiętać, że to właśnie administrator zobowiązany jest przeprowadzić analizę, która ma za zadanie ustalić, czy taki obowiązek istnieje. Niewątpliwie pomocnym w tym temacie może okazać się audyt zewnętrzny, który obiektywnie oceni przesłanki wymogu powołania IOD. Pamiętajmy jednak, że pomimo, iż podmiot nie spełnia wyżej opisanych wytycznych – może, a nawet jest to rekomendowane przez Grupę Roboczą (art. 29), powołać Inspektora Ochrony Danych.

Przyjmijmy, że w Naszej organizacji istnieje potrzeba formalna powołania IOD. Jak to zrobić, aby było poprawnie? Nie wystarczy samo wyznaczenie IOD w ramach struktury organizacyjnej administratora danych. Konieczne jest również zgłoszenie jego wyznaczenia do Prezesa UODO. Analogicznie wygląda to przy odwołaniu/lub zmianie danych IOD lub zastępcy IOD. Być może dla niektórych temat ten wydać się może banalny, jednak mimo upływu 4 lat obowiązywania RODO, wedle UODO wciąż zdarzają się przypadki, w których forma powiadomienia jest niewłaściwa.

Kilka ważnych informacji technicznych

  1. To, jak dokonać zgłoszenia, wyjaśnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
  2. Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 www. ustawy oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) opatrzonej elektronicznym podpisem kwalifikowanym albo profilem zaufanym ePUAP przez osobę upoważnioną do reprezentowania administratora.
  3. Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
  4. Właściwy formularz elektroniczny dotyczący zarówno IOD / zastępcy IOD znajdziemy na stronie – https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/871 .
  5. Administratorzy wyznaczający IOD / zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD / zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
  6. Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
  7. Na zawiadomienie Prezesa UODO o wyznaczeniu w organizacji IOD mamy 14 dni.
  8. Zgłoszenie IOD jest bezpłatne.
  9. Istnieje również możliwość złożenia zawiadomienia przez Pełnomocnika. Jest to rozwiązanie zapewne wygodne dla Administratora zwłaszcza w przypadku, gdy podmiot decyzyjny nie ma czasu lub możliwości dokonania zawiadomienia w ustawowym 14-dniowym terminie.
  10. Pamiętajmy, że w takim przypadku koniecznym jest dołączenie do zgłoszenia wyznaczenia IOD stosownego pełnomocnictwa w formie elektronicznej. Jeżeli zgłoszenie jest dokonywane za pośrednictwem pełnomocnika, wówczas konieczne jest, poza dołączeniem pełnomocnictwa, uiszczenie opłaty skarbowej od pełnomocnictwa i dołączenie potwierdzenia jej uiszczenia do zawiadomienia i samego pełnomocnictwa.

Jak prawidłowo dokonać opłaty?

 Opłaty należy dokonać na rachunek bankowy Centrum Obsługi Podatnika.

  1. W tytule przelewu należy podać konkretną informację, tj. „Prezes UODO – opłata za pełnomocnictwo udzielone [imię i nazwisko osoby, której udzielane jest pełnomocnictwo] w dniu [pełna data] r.
  2. Dowód uiszczenia opłaty (w formie elektronicznej) musi zostać dołączony do zgłoszenia oraz pełnomocnictwa.

Jak wskazuje UODO, należy też pamiętać, że wraz z ponownym zgłoszeniem i przedstawieniem do niego prawidłowego dokumentu pełnomocnictwa, konieczne będzie ponowne wniesienie opłaty skarbowej. Przewiduje się jednak kilka wyjątków:

  1. Brak konieczności dokonywania opłaty skarbowej od pełnomocnictwa, jeżeli mocodawcą jest np. jednostka budżetowa czy organizacja pożytku publicznego (art. 7 pkt. 1–5 ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej).
  2. Brak konieczności przesyłania pełnomocnictwa, w przypadku, gdy ustanowiony pełnomocnik został ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Czy Urząd Ochrony Danych Osobowych potwierdza otrzymanie zawiadomienia?

 Dostarczone do UODO zawiadomienie jest potwierdzane Urzędowym Poświadczeniem Przedłożenia generowanym automatycznie w postaci pliku UPP.xml przez biznes.gov lub portal epuap.gov.

Jednak ocena, czy przesłane zawiadomienie o wyznaczeniu / odwołaniu / zmianie danych IOD lub zastępcy IOD jest poprawne, należy do zgłaszającego.

Jak przygotować się do składania zawiadomienia?

W zawiadomieniu o wyznaczeniu IOD należy zawrzeć liczne informacje dotyczące zarówno administratora danych, jak również wyznaczonego IOD.

W odniesieniu do ADO należy wskazać:

  • imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna,
  • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,
  • pełną nazwę oraz adres siedziby, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż osoba fizyczna,
  • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu (art. 13 ust. 3 ustawy o ochronie danych osobowych).

W odniesieniu do IOD konieczne jest natomiast podanie:

  • imienia i nazwiska IOD,
  • adresu poczty elektronicznej lub numeru telefonu IOD (art. 13 ust. 1 ustawy o ochronie danych osobowych).

 Wspólne zgłoszenie w grupie przedsiębiorstw

W przypadku gdy kilka podmiotów zdecydowało się na ustanowienie wspólnego IOD, obowiązek zawiadomienia Prezesa UODO o ustanowieniu takiego inspektora spoczywa z osobna na wszystkich administratorach, którzy dokonali wspólnego wyznaczenia (art. 10 ust. 5 ustawy o ochronie danych osobowych).

Warto pamiętać również o tym, iż dane IOD muszą zostać opublikowane w Internecie. Podmiot, który wyznaczył IOD, musi niezwłocznie po jego wyznaczeniu udostępnić jego dane (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, zaś jeśli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich) – art. 11 ustawy o ochronie danych osobowych.

Najczęściej popełniane błędy

Na podsumowanie, chciałabym również wskazać jakie najczęściej są popełniane błędy w zawiadomieniach dotyczących IOD (informacje z UODO):

  • przesłanie zawiadomienia w postaci papierowej np. drogą listowną zamiast w postaci elektronicznej, która jest jedyną prawidłową postacią zawiadomienia zgodnie z przepisami o ochronie danych osobowych,
  • przesłanie pisma przewodniego bez formularza zawiadomienia,
  • przesłanie zawiadomienia na niewłaściwym formularzu (np. szkoła przesyła zawiadomienie na formularzu przeznaczonym dla organów przetwarzające dane na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości),
  • przesłanie zawiadomienia dotyczącego zastępcy IOD na niewłaściwym formularzu (np. przesłanie zawiadomienia na formularzu dotyczącym IOD),
  • nieprzedstawienie pełnomocnictwa bądź załączenie do zawiadomienia pełnomocnictwa bez zachowania jego formy elektronicznej, np. skan pełnomocnictwa nieopatrzony kwalifikowanym podpisem elektronicznym, podpisanie pełnomocnictwa przez jednego członka zarządu, gdy z reprezentacji w KRS wynika reprezentacja dwuosobowa.

Jeśli zawiadomienie zawiera błędy konieczne jest jego ponowne przesłanie.

Dlatego PUODO przypomina nam o formie w jakiej należy składać zawiadomienie.

W przypadku, kiedy trudno jest określić potrzebę wyznaczenia IOD, rekomenduje się skorzystanie z podmiotu zewnętrznego specjalizującego się w dziedzinie audytu, który zapewne oceni wystąpienie/bądź nie takich przesłanek.

Pobierz wpis w wersji pdf

Podobne wpisy:

RODO krok po kroku – część 4: kary finansowe i odpowiedzialność administratora danych

Pierwsze w UE zadośćuczynienie za niezgodne z prawem przetwarzanie danych osobowych

Jak podaje portal https://digital.freshfields.com/post/102fth1/can-i-claim-damages-for-hurt-feelings-under-gdpr-an-austrian-court-says-yes austriacki sąd – jako pierwszy w Europie – zasądził zadośćuczynienie za krzywdę doznaną przez osobę fizyczną wskutek niezgodnego z prawem przetwarzania jej danych osobowych. Zasądzona kwota wydaje się na pierwszy rzut oka niewielka – 800 euro (powód domagał się 2 500 euro). Co jednak ciekawe, omawiana sprawa stanowi pokłosie kary pieniężnej nałożonej […]

Dane osobowe dzieci w internecie

Zgoda dziecka na przetwarzanie danych osobowych

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o […]

O ochronie danych osobowych w Nowoczesnej Firmie

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki