iSecure logo
Blog

Zgłoszenie Inspektora Ochrony Danych

Na wstępie, przypomnijmy sobie kim jest Inspektor Ochrony Danych i kiedy mamy obowiązek jego powołania. Otóż Inspektor Ochrony Danych (dalej zwany IOD) zastąpił na mocy RODO – Administratora Bezpieczeństwa Informacji, czyli ABI. IOD to niewątpliwie osoba wspierająca administratora w realizacji obowiązków dotyczących ochrony danych osobowych.

Czy każda organizacja powinna wyznaczyć IOD? Czy RODO zawsze wymaga powołania IOD?

Nie. Sytuacje, w których istnieje obowiązek powołania inspektora ochrony danych zostały wprost wymienione w art. 37 RODO. Do takich sytuacji zaliczyć należy:

  • przetwarzanie dokonywane przez organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę
  • sytuacje, gdzie główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Należy pamiętać, że to właśnie administrator zobowiązany jest przeprowadzić analizę, która ma za zadanie ustalić, czy taki obowiązek istnieje. Niewątpliwie pomocnym w tym temacie może okazać się audyt zewnętrzny, który obiektywnie oceni przesłanki wymogu powołania IOD. Pamiętajmy jednak, że pomimo, iż podmiot nie spełnia wyżej opisanych wytycznych – może, a nawet jest to rekomendowane przez Grupę Roboczą (art. 29), powołać Inspektora Ochrony Danych.

Przyjmijmy, że w Naszej organizacji istnieje potrzeba formalna powołania IOD. Jak to zrobić, aby było poprawnie? Nie wystarczy samo wyznaczenie IOD w ramach struktury organizacyjnej administratora danych. Konieczne jest również zgłoszenie jego wyznaczenia do Prezesa UODO. Analogicznie wygląda to przy odwołaniu/lub zmianie danych IOD lub zastępcy IOD. Być może dla niektórych temat ten wydać się może banalny, jednak mimo upływu 4 lat obowiązywania RODO, wedle UODO wciąż zdarzają się przypadki, w których forma powiadomienia jest niewłaściwa.

Kilka ważnych informacji technicznych

  1. To, jak dokonać zgłoszenia, wyjaśnia ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
  2. Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 www. ustawy oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) opatrzonej elektronicznym podpisem kwalifikowanym albo profilem zaufanym ePUAP przez osobę upoważnioną do reprezentowania administratora.
  3. Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
  4. Właściwy formularz elektroniczny dotyczący zarówno IOD / zastępcy IOD znajdziemy na stronie – https://www.biznes.gov.pl/pl/opisy-procedur/-/proc/871 .
  5. Administratorzy wyznaczający IOD / zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD / zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
  6. Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
  7. Na zawiadomienie Prezesa UODO o wyznaczeniu w organizacji IOD mamy 14 dni.
  8. Zgłoszenie IOD jest bezpłatne.
  9. Istnieje również możliwość złożenia zawiadomienia przez Pełnomocnika. Jest to rozwiązanie zapewne wygodne dla Administratora zwłaszcza w przypadku, gdy podmiot decyzyjny nie ma czasu lub możliwości dokonania zawiadomienia w ustawowym 14-dniowym terminie.
  10. Pamiętajmy, że w takim przypadku koniecznym jest dołączenie do zgłoszenia wyznaczenia IOD stosownego pełnomocnictwa w formie elektronicznej. Jeżeli zgłoszenie jest dokonywane za pośrednictwem pełnomocnika, wówczas konieczne jest, poza dołączeniem pełnomocnictwa, uiszczenie opłaty skarbowej od pełnomocnictwa i dołączenie potwierdzenia jej uiszczenia do zawiadomienia i samego pełnomocnictwa.

Jak prawidłowo dokonać opłaty?

 Opłaty należy dokonać na rachunek bankowy Centrum Obsługi Podatnika.

  1. W tytule przelewu należy podać konkretną informację, tj. „Prezes UODO – opłata za pełnomocnictwo udzielone [imię i nazwisko osoby, której udzielane jest pełnomocnictwo] w dniu [pełna data] r.
  2. Dowód uiszczenia opłaty (w formie elektronicznej) musi zostać dołączony do zgłoszenia oraz pełnomocnictwa.

Jak wskazuje UODO, należy też pamiętać, że wraz z ponownym zgłoszeniem i przedstawieniem do niego prawidłowego dokumentu pełnomocnictwa, konieczne będzie ponowne wniesienie opłaty skarbowej. Przewiduje się jednak kilka wyjątków:

  1. Brak konieczności dokonywania opłaty skarbowej od pełnomocnictwa, jeżeli mocodawcą jest np. jednostka budżetowa czy organizacja pożytku publicznego (art. 7 pkt. 1–5 ustawy z dnia 16 listopada 2006 r. o opłacie skarbowej).
  2. Brak konieczności przesyłania pełnomocnictwa, w przypadku, gdy ustanowiony pełnomocnik został ujawniony w Centralnej Ewidencji i Informacji o Działalności Gospodarczej.

Czy Urząd Ochrony Danych Osobowych potwierdza otrzymanie zawiadomienia?

 Dostarczone do UODO zawiadomienie jest potwierdzane Urzędowym Poświadczeniem Przedłożenia generowanym automatycznie w postaci pliku UPP.xml przez biznes.gov lub portal epuap.gov.

Jednak ocena, czy przesłane zawiadomienie o wyznaczeniu / odwołaniu / zmianie danych IOD lub zastępcy IOD jest poprawne, należy do zgłaszającego.

Jak przygotować się do składania zawiadomienia?

W zawiadomieniu o wyznaczeniu IOD należy zawrzeć liczne informacje dotyczące zarówno administratora danych, jak również wyznaczonego IOD.

W odniesieniu do ADO należy wskazać:

  • imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna,
  • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,
  • pełną nazwę oraz adres siedziby, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż osoba fizyczna,
  • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu (art. 13 ust. 3 ustawy o ochronie danych osobowych).

W odniesieniu do IOD konieczne jest natomiast podanie:

  • imienia i nazwiska IOD,
  • adresu poczty elektronicznej lub numeru telefonu IOD (art. 13 ust. 1 ustawy o ochronie danych osobowych).

 Wspólne zgłoszenie w grupie przedsiębiorstw

W przypadku gdy kilka podmiotów zdecydowało się na ustanowienie wspólnego IOD, obowiązek zawiadomienia Prezesa UODO o ustanowieniu takiego inspektora spoczywa z osobna na wszystkich administratorach, którzy dokonali wspólnego wyznaczenia (art. 10 ust. 5 ustawy o ochronie danych osobowych).

Warto pamiętać również o tym, iż dane IOD muszą zostać opublikowane w Internecie. Podmiot, który wyznaczył IOD, musi niezwłocznie po jego wyznaczeniu udostępnić jego dane (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, zaś jeśli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich) – art. 11 ustawy o ochronie danych osobowych.

Najczęściej popełniane błędy

Na podsumowanie, chciałabym również wskazać jakie najczęściej są popełniane błędy w zawiadomieniach dotyczących IOD (informacje z UODO):

  • przesłanie zawiadomienia w postaci papierowej np. drogą listowną zamiast w postaci elektronicznej, która jest jedyną prawidłową postacią zawiadomienia zgodnie z przepisami o ochronie danych osobowych,
  • przesłanie pisma przewodniego bez formularza zawiadomienia,
  • przesłanie zawiadomienia na niewłaściwym formularzu (np. szkoła przesyła zawiadomienie na formularzu przeznaczonym dla organów przetwarzające dane na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości),
  • przesłanie zawiadomienia dotyczącego zastępcy IOD na niewłaściwym formularzu (np. przesłanie zawiadomienia na formularzu dotyczącym IOD),
  • nieprzedstawienie pełnomocnictwa bądź załączenie do zawiadomienia pełnomocnictwa bez zachowania jego formy elektronicznej, np. skan pełnomocnictwa nieopatrzony kwalifikowanym podpisem elektronicznym, podpisanie pełnomocnictwa przez jednego członka zarządu, gdy z reprezentacji w KRS wynika reprezentacja dwuosobowa.

Jeśli zawiadomienie zawiera błędy konieczne jest jego ponowne przesłanie.

Dlatego PUODO przypomina nam o formie w jakiej należy składać zawiadomienie.

W przypadku, kiedy trudno jest określić potrzebę wyznaczenia IOD, rekomenduje się skorzystanie z podmiotu zewnętrznego specjalizującego się w dziedzinie audytu, który zapewne oceni wystąpienie/bądź nie takich przesłanek.

Pobierz wpis w wersji pdf

Podobne wpisy:

„Zgłoś incydent!” iSecure z pomocą w analizie naruszeń ochrony danych osobowych

Ktoś z Twojej organizacji udostępnił przypadkiem wezwanie do zapłaty niewłaściwemu odbiorcy? A może wysłałeś e-mailem ważne dokumenty do wielu odbiorców spoza firmy i zapomniałeś o skorzystaniu z opcji UDW? Mam dla Ciebie złą wiadomość – najprawdopodobniej doszło do naruszenia ochrony danych osobowych. Taki incydent wymaga dogłębnej analizy, ponieważ na przedsiębiorcy ciąży szereg obowiązków związanych z […]

Czego uczą nas „brzegowe przypadki”?

Na pewno doskonale znany programistom termin „edge case” (z ang.: „przypadek brzegowy”) oznacza sytuacje co prawda teoretycznie możliwą, ale której wystąpienie w realnym świecie jawi się jako niezwykle mało prawdopodobne. Zazwyczaj ich pojawienie wiąże się z nietypową sytuacją, w przypadku algorytmów – wprowadzeniem bardzo dużej bądź bardzo małej wartości liczbowej (stąd „brzeg” w nazwie). Warto pamiętać o takich sytuacjach również na gruncie ochrony danych osobowych, co opiszę poniżej na kilku ciekawych przykładach.

Procedura ochrony danych osobowych w pracy zdalnej – kiedy jest potrzebna i jak ją wprowadzić?

Od 07 kwietnia 2023 r. obowiązują znowelizowane przepisy Kodeksu Pracy o świadczeniu pracy zdalnej. Jeżeli firma dopuszcza taką formę świadczenia pracy, zasady ją regulujące powinny w dacie publikacji niniejszego tekstu być już uchwalone i znane pracownikom. Pierwsze miesiące obowiązywania nowych zasad są też doskonałym czasem na weryfikację, czy posiadana dokumentacja jest zgodna z przepisami oraz […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki