iSecure logo
  • pl
  • en
    • Blog

    Zgłoszenie Inspektora Ochrony Danych

    Olga Skotnicka
    Kategorie

    Na wstępie, przypomnijmy sobie kim jest Inspektor Ochrony Danych i kiedy mamy obowiązek jego powołania. Otóż Inspektor Ochrony Danych (dalej zwany IOD) zastąpił na mocy RODO – Administratora Bezpieczeństwa Informacji, czyli ABI. IOD to niewątpliwie osoba wspierająca administratora w realizacji obowiązków dotyczących ochrony danych osobowych.

    Czy każda organizacja powinna wyznaczyć IOD? Czy RODO zawsze wymaga powołania IOD?

    Nie. Sytuacje, w których istnieje obowiązek powołania inspektora ochrony danych zostały wprost wymienione w art. 37 RODO. Do takich sytuacji zaliczyć należy:

    • przetwarzanie dokonywane przez organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
    • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę
    • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

    Należy pamiętać, że to właśnie administrator zobowiązany jest przeprowadzić analizę, która ma za zadanie ustalić, czy taki obowiązek istnieje. Niewątpliwie pomocnym w tym temacie może okazać się audyt zewnętrzny, który obiektywnie oceni przesłanki wymogu powołania IOD. Pamiętajmy jednak, że pomimo, iż podmiot nie spełnia wyżej opisanych wytycznych – może, a nawet jest to rekomendowane przez Grupę Roboczą (art. 29), powołać Inspektora Ochrony Danych.

    Przyjmijmy, że w Naszej organizacji istnieje potrzeba formalna powołania IOD. Jak to zrobić, aby było poprawnie? Nie wystarczy samo wyznaczenie IOD w ramach struktury organizacyjnej administratora danych. Konieczne jest również zgłoszenie jego wyznaczenia do Prezesa UODO. Analogicznie wygląda to przy odwołaniu/lub zmianie danych IOD lub zastępcy IOD. Być może dla niektórych temat ten wydać się może banalny, jednak mimo upływu 4 lat obowiązywania RODO, wedle UODO wciąż zdarzają się przypadki, w których forma powiadomienia jest niewłaściwa.

    Kilka ważnych informacji technicznych

    1. To, jak dokonać zgłoszenia, wyjaśnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
    2. Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 www. ustawy oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) opatrzonej elektronicznym podpisem kwalifikowanym albo profilem zaufanym ePUAP przez osobę upoważnioną do reprezentowania administratora.
    3. Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
    4. Właściwy formularz elektroniczny dotyczący zarówno IOD / zastępcy IOD znajdziemy na stronie – https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/871 .
    5. Administratorzy wyznaczający IOD / zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD / zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
    6. Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
    7. Na zawiadomienie Prezesa UODO o wyznaczeniu w organizacji IOD mamy 14 dni.
    8. Zgłoszenie IOD jest bezpłatne.
    9. Istnieje również możliwość złożenia zawiadomienia przez Pełnomocnika. Jest to rozwiązanie zapewne wygodne dla Administratora zwłaszcza w przypadku, gdy podmiot decyzyjny nie ma czasu lub możliwości dokonania zawiadomienia w ustawowym 14-dniowym terminie.
    10. Pamiętajmy, że w takim przypadku koniecznym jest dołączenie do zgłoszenia wyznaczenia IOD stosownego pełnomocnictwa w formie elektronicznej. Jeżeli zgłoszenie jest dokonywane za pośrednictwem pełnomocnika, wówczas konieczne jest, poza dołączeniem pełnomocnictwa, uiszczenie opłaty skarbowej od pełnomocnictwa i dołączenie potwierdzenia jej uiszczenia do zawiadomienia i samego pełnomocnictwa.

    Jak prawidłowo dokonać opłaty?

     Opłaty należy dokonać na rachunek bankowy Centrum Obsługi Podatnika.

    1. W tytule przelewu należy podać konkretną informację, tj. „Prezes UODO – opłata za pełnomocnictwo udzielone [imię i nazwisko osoby, której udzielane jest pełnomocnictwo] w dniu [pełna data] r.
    2. Dowód uiszczenia opłaty (w formie elektronicznej) musi zostać dołączony do zgłoszenia oraz pełnomocnictwa.

    Jak wskazuje UODO, należy też pamiętać, że wraz z ponownym zgłoszeniem i przedstawieniem do niego prawidłowego dokumentu pełnomocnictwa, konieczne będzie ponowne wniesienie opłaty skarbowej. Przewiduje się jednak kilka wyjątków:

    1. Brak konieczności dokonywania opłaty skarbowej od pełnomocnictwa, jeżeli mocodawcą jest np. jednostka budżetowa czy organizacja pożytku publicznego (art. 7 pkt. 1–5 ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej).
    2. Brak konieczności przesyłania pełnomocnictwa, w przypadku, gdy ustanowiony pełnomocnik został ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

    Czy Urząd Ochrony Danych Osobowych potwierdza otrzymanie zawiadomienia?

     Dostarczone do UODO zawiadomienie jest potwierdzane Urzędowym Poświadczeniem Przedłożenia generowanym automatycznie w postaci pliku UPP.xml przez biznes.gov lub portal epuap.gov.

    Jednak ocena, czy przesłane zawiadomienie o wyznaczeniu / odwołaniu / zmianie danych IOD lub zastępcy IOD jest poprawne, należy do zgłaszającego.

    Jak przygotować się do składania zawiadomienia?

    W zawiadomieniu o wyznaczeniu IOD należy zawrzeć liczne informacje dotyczące zarówno administratora danych, jak również wyznaczonego IOD.

    W odniesieniu do ADO należy wskazać:

    • imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna,
    • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,
    • pełną nazwę oraz adres siedziby, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż osoba fizyczna,
    • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu (art. 13 ust. 3 ustawy o ochronie danych osobowych).

    W odniesieniu do IOD konieczne jest natomiast podanie:

    • imienia i nazwiska IOD,
    • adresu poczty elektronicznej lub numeru telefonu IOD (art. 13 ust. 1 ustawy o ochronie danych osobowych).

     Wspólne zgłoszenie w grupie przedsiębiorstw

    W przypadku gdy kilka podmiotów zdecydowało się na ustanowienie wspólnego IOD, obowiązek zawiadomienia Prezesa UODO o ustanowieniu takiego inspektora spoczywa z osobna na wszystkich administratorach, którzy dokonali wspólnego wyznaczenia (art. 10 ust. 5 ustawy o ochronie danych osobowych).

    Warto pamiętać również o tym, iż dane IOD muszą zostać opublikowane w Internecie. Podmiot, który wyznaczył IOD, musi niezwłocznie po jego wyznaczeniu udostępnić jego dane (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, zaś jeśli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich) – art. 11 ustawy o ochronie danych osobowych.

    Najczęściej popełniane błędy

    Na podsumowanie, chciałabym również wskazać jakie najczęściej są popełniane błędy w zawiadomieniach dotyczących IOD (informacje z UODO):

    • przesłanie zawiadomienia w postaci papierowej np. drogą listowną zamiast w postaci elektronicznej, która jest jedyną prawidłową postacią zawiadomienia zgodnie z przepisami o ochronie danych osobowych,
    • przesłanie pisma przewodniego bez formularza zawiadomienia,
    • przesłanie zawiadomienia na niewłaściwym formularzu (np. szkoła przesyła zawiadomienie na formularzu przeznaczonym dla organów przetwarzające dane na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości),
    • przesłanie zawiadomienia dotyczącego zastępcy IOD na niewłaściwym formularzu (np. przesłanie zawiadomienia na formularzu dotyczącym IOD),
    • nieprzedstawienie pełnomocnictwa bądź załączenie do zawiadomienia pełnomocnictwa bez zachowania jego formy elektronicznej, np. skan pełnomocnictwa nieopatrzony kwalifikowanym podpisem elektronicznym, podpisanie pełnomocnictwa przez jednego członka zarządu, gdy z reprezentacji w KRS wynika reprezentacja dwuosobowa.

    Jeśli zawiadomienie zawiera błędy konieczne jest jego ponowne przesłanie.

    Dlatego PUODO przypomina nam o formie w jakiej należy składać zawiadomienie.

    W przypadku, kiedy trudno jest określić potrzebę wyznaczenia IOD, rekomenduje się skorzystanie z podmiotu zewnętrznego specjalizującego się w dziedzinie audytu, który zapewne oceni wystąpienie/bądź nie takich przesłanek.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Katarzyna Ułasiuk-Delamare

    Co nowego o targetowanej reklamie w mediach społecznościowych?

    Każdy specjalista ds. marketingu słyszał, a wielu korzystało lub zamierzało skorzystać, z opcji reklamy w mediach społecznościowych ukierunkowanej na konkretnego klienta lub grupę klientów. Ostatnio mieliśmy w tym zakresie ciekawe wyjaśnienia opiniodawczej Europejskiej Rady Ochrony Danych, które rzucają nieco więcej światła na to, jak rozumieć przetwarzanie danych osobowych w trakcie korzystana z usług typu „custom […]

    Czytaj więcej
    Maciej Łukaszewicz

    Pierwsza kara za naruszenie przepisów RODO podtrzymana

    W 2019 roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą administracyjną karę pieniężną od momentu wejścia w życie przepisów Rozporządzenia o ochronie danych osobowych (dalej jako „RODO”). Kara została nałożona na spółkę Bisnode (obecnie Dun & Bradstreet) w wysokości 943 tysięcy złotych. PUODO zarzuciło w tamtym czasie, że Bisnode jako broker danych, pozyskiwała dane osobowe […]

    Czytaj więcej
    Michał Sztąberek

    Czy czwarta rocznica bezpośredniego stosowania RODO coś zmienia?

    Pod koniec maja tego roku wiele firm i specjalistów zajmujących się ochroną danych osobowych publikowało sporo ciekawych podsumowań i felietonów dotyczących 4 lat obecności RODO w naszym życiu. Czy rzeczywiście tak wiele się zmieniło, że warto o tym pisać? Wydaje się, że 4 lata to naprawdę sporo, by przedsiębiorcy na dobre zapoznali się z RODO. […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki