Szukaj
Close this search box.

Inspektor Ochrony Danych pod RODO – kim jest i czy trzeba go wyznaczyć?

Spis treści

Jeżeli w toku swojej działalności masz styczność z danymi osobowymi innych osób (np. klientów), z pewnością słyszałeś o unijnym rozporządzeniu o ochronie danych osobowych, czyli RODO, które zaczęło obowiązywać 25 maja 2018 r. Akt ten wprowadził i zaktualizował wiele rozwiązań w dziedzinie danych osobowych – jednym z nich jest możliwość (a w pewnych przypadkach obowiązek) wyznaczenia Inspektora Ochrony Danych (IOD; spotykany jest też angielski skrót DPO od Data Protection Officer), którego zadaniem jest zapewnienie przestrzegania przez dany podmiot przepisów o ochronie danych osobowych.

Seria artykułów o RODO:

  1. 5 rzeczy, o których musisz pamiętać wysyłając zgodny z prawem newsletter
  2. Polityka prywatności jako obowiązek informacyjny z RODO
  3. Zasady i fundamenty systemu ochrony danych osobowych zgodnie z RODO
  4. Inspektor Ochrony Danych pod RODO – kim jest i czy trzeba go wyznaczyć?
  5. Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe
  6. Pakiety RODO do kupienia
  7. eBook: RODO w pigułce dla branży kreatywnej
  8. Zasady privacy by default i privacy by design – do czego zobowiązują?
  9. Kiedy i jak usuwać dane osobowe zgodnie z RODO? – poradnik
  10. Chatboty i RODO – wszystko, co musisz wiedzieć
  11. RODO dla fotografa – pytania i odpowiedzi
  12. Legalny newsletter krok po kroku | Kawka z prawnikiem #live nr 9
  13. RODO dla social media ninja | Kawka z prawnikiem #live nr 7
  14. Jakie dokumenty RODO powinieneś posiadać | Kawka z prawnikiem #live nr 4

Z treści dzisiejszego artykułu dowiesz się:

  1. Kto może, a kto musi wyznaczyć IOD.
  2. Jakie obowiązki informacyjne ciążą na administratorze.
  3. Na jakiej podstawie można zatrudniać IOD.
  4. Jakie są zadania IOD.
  5. Jakie obowiązki ma administrator względem IOD.

Podsumowanie na start

Nie chcesz czytać całego artykułu? Zapoznaj się z naszym podsumowaniem poniżej:

 

  1. Głównym zadaniem Inspektora Ochrony Danych (IOD; DPO) jest zapewnienie przestrzegania przez dany podmiot przepisów o ochronie danych osobowych.
  2. RODO przewiduje sytuacje, w których wyznaczenie IOD jest obowiązkowe – jako przedsiębiorca, powinieneś zwrócić szczególną uwagę na punkt dotyczący regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Nic jednak nie stoi na przeszkodzie, byś wyznaczył IOD z własnej inicjatywy.
  3. Fakt wyznaczenia IOD musisz zgłosić Prezesowi Urzędu Ochrony Danych Osobowych (zgłoszeń dokonuje się w formie elektronicznej). Dane Inspektora zawarte w zgłoszeniu musisz umieścić także na swojej stronie internetowej lub w miejscu prowadzenia działalności.
  4. Inspektorem może być Twój pracownik albo podmiot zewnętrzny – każde z tych rozwiązań ma swoje wady i zalety.
  5. Pamiętaj, że względem IOD będą ciążyły na Tobie określone obowiązki (m.in. wspieranie go, a także włączanie we wszystkie sprawy dotyczące ochrony danych osobowych).

Kiedy trzeba wyznaczyć IOD

RODO wymienia 3 grupy podmiotów, które mają obowiązek wyznaczenia IOD, a także daje możliwość poszerzenia tego katalogu na mocy prawa państw członkowskich UE.

Polski prawodawca w ustawie o ochronie danych osobowych przyjętej w związku z RODO nie skorzystał z tej możliwości, zatem obowiązek ten spoczywa administratorze (podmiocie, który ustala cele i sposoby przetwarzania danych osobowych) i podmiocie przetwarzającym (takim, który przetwarza dane w imieniu administratora) zawsze, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO (np. danych medycznych), lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Punkty 1 i 3 dotyczą głównie podmiotów państwowych lub wykonujących funkcje publiczne, dlatego powinieneś zwrócić uwagę przede wszystkim na punkt 2. Zawiera on kilka pojęć niedookreślonych, które zostaną omówione poniżej:

  • “główna działalność”– przetwarzanie danych osobowych jest taką działalnością, gdy obejmuje zasadnicze, a nie poboczne czynności administratora. Warunek ten jest spełniony także wtedy, gdy przetwarzanie jest niezbędne do wykonywania działalności głównej (np. gdy wymaga tego każda oferowana usługa);
  • “regularne i systematyczne monitorowanie osób” – pod tym pojęciem kryje się przede wszystkim śledzenie ludzkiej aktywności w Internecie oraz profilowanie, ale także inne działania monitorujące;
  • “duża skala”– przesłanka ta zawsze musi być oceniana w odniesieniu do konkretnego przypadku, przy wzięciu pod uwagę kryteriów takich jak liczba osób, których danych dotyczy przetwarzanie, zakres przetwarzanych danych, okres przetwarzania oraz zasięg terytorialny działalności.

Jeżeli nie należysz do żadnej z 3 wymienionych kategorii podmiotów, nie masz obowiązku wyznaczać IOD. Musisz jednak pamiętać, że wszystkie obowiązki związane z przetwarzaniem danych osobowych będziesz wtedy musiał wykonywać sam. Pomoc Inspektora może okazać się nieoceniona, dlatego warto rozważyć, czy oszczędność na jego zatrudnieniu przeważy nad kosztami niedopełnienia prawnych obowiązków.

Obowiązki informacyjne związane z wyznaczeniem IOD

Wyznaczenie Inspektora Ochrony Danych, niezależnie czy było to obowiązkowe, czy nie, wiąże się z koniecznością zgłoszenia tego faktu Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 14 dni od dokonania tej czynności.

Zgłoszenie takie zawiera:

  • dane Inspektora – imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu,
  • dane administratora lub podmiotu przetwarzającego:
    1. imię i nazwisko oraz adres zamieszkania, w przypadku, gdy jest to osoba fizyczna;
    2. firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy jest to osoba fizyczna prowadząca działalność gospodarczą;
    3. pełną nazwę oraz adres siedziby, w przypadku, gdy jest to inny przedsiębiorca, niż wymieniony wyżej;
    4. numer identyfikacyjny REGON, jeżeli został nadany.

Zgłoszeń musisz dokonać w formie elektronicznej, opatrzonych kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Wszystkie potrzebne do tego wskazówki odnajdziesz na stronie internetowej PUODO.

Musisz zapoznać się z:

Dane Inspektora zawarte w zgłoszeniu (nazwisko, e-mail itd.) musisz umieścić także na swojej stronie internetowej, a jeżeli jej nie posiadasz – w miejscu prowadzenia działalności, tak by każdy mógł się z nimi zapoznać.

Porozmawiaj z ekspertem

Stoisz przed wyzwaniem? Szukasz najlepszego rozwiązania dla swojego problemu, który opisałem w tym artykule? Sprawdź, czy jestem w stanie Ci pomóc.

Napisz do mnie poprzez poniższy formularz i umów się na rozmowę.

Uzupełnij poniższy formularz, jeżeli np.:

  • masz pytania z zakresu o którym pisałem w tym artykule,
  • szukasz najlepszego rozwiązania dla swojego problemu,
  • chcesz wiedzieć, jak wygląda współpraca z nami, terminy oraz koszty.

Pierwszy kontakt jest bezpłatny i ma on na celu ustalenie zakresu potencjalnej naszej pomocy oraz Twoich pytań i wątpliwości.

Po przesłaniu formularza skontaktujemy się z Tobą w ciągu 24h w celu ustalenia dalszych szczegółów.


Przed wysłaniem wiadomości zapoznaj się z naszą Polityką prywatności.

Podstawy zatrudnienia IOD

Zgodnie z przepisami RODO, na Inspektora możesz wyznaczyć swojego pracownika albo zawrzeć umowę o świadczenie usług z podmiotem zewnętrznym (outsourcing). Oba rozwiązania mają zalety i wady, które zostaną pokrótce omówione poniżej.

Pracownik z pewnością będzie lepiej orientował się w sposobie funkcjonowania Twojego przedsiębiorstwa i zasadach działalności w branży, co pozwoli mu efektywnie wykonywać zadania Inspektora. Z drugiej strony będą przysługiwały mu liczne przywileje i uprawnienia, nie będzie mógł także wykonywać zadań, które utrudniałyby mu pełnienie funkcji IOD lub powodowały konflikt interesów.

Podmiot zewnętrzny będzie z kolei potrzebował czasu na skuteczne wdrożenie się do wykonywania zadań typowych dla branży, uzyska też dostęp do informacji zazwyczaj niedostępnych dla osób trzecich. Ma jednak niebagatelne zalety – czuwanie nad ochroną danych osobowych będzie jego jedynym zadaniem, ponadto będzie można wybrać go biorąc pod uwagę wiele różnorodnych ofert, stosownie do potrzeb.

Ponadto istnieje możliwość, by podmiot zewnętrzny był osobą prawną, a obsługą zajmowała się nie jedna osoba, lecz cały zespół. W takim przypadku, na wszystkich członków takiego zespołu rozciągają się uprawnienia IOD, muszą oni spełniać także wymóg odpowiednich kwalifikacji, o których wspomina art. 37 ust. 5 RODO. Musisz pamiętać o wskazaniu w umowie osoby odpowiedzialnej za cały zespół oraz za kontakt z Tobą.

Zadania IOD

Na podstawie artykułu 39 RODO, Inspektor realizuje następujące zadania

  • informuje administratora oraz osoby przez niego zatrudnione, które przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa oraz doradza im w tych sprawach;
  • monitoruje przestrzeganie przepisów z zakresu ochrony danych osobowych, polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
  • monitoruje podział obowiązków;
  • podejmuje działania zwiększające świadomość w zakresie ochrony danych osobowych;
  • przeprowadza szkolenia osób zatrudnionych w zakresie ochrony danych osobowych;
  • prowadzi audyty;
  • udziela na żądanie Administratora Danych Osobowych zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorować jej wykonanie zgodnie z art. 35 RODO;
  • współpracuje z Prezesem Urzędu Ochrony Danych Osobowych;
  • pełni funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzi konsultacje we wszelkich innych sprawach.

Dodatkowo, nic nie stoi na przeszkodzie, aby zakres obowiązków samego IOD został rozszerzony. Takie zadania mogą być wskazane w umowie z IOD lub przydzielane na bieżąco zależnie od woli stron.

Aby Inspektor mógł skutecznie realizować swoje zadania, RODO nakłada na administratora liczne obowiązki, które zostały wskazane poniżej.

Obowiązki administratora względem IOD

RODO gwarantuje Inspektorowi silną pozycję, wymagając by bezpośrednio podlegał “najwyższemu kierownictwu” administratora lub podmiotu przetwarzającego (w zależności od jego struktury organizacyjnej może być to np. zarząd spółki, przedsiębiorca jednoosobowy itd.). Dzięki temu IOD może zachować niezależność, a także komunikować się bezpośrednio z kierownictwem, co w przypadku konieczności szybkiej reakcji (np. na wycieku danych), ma niebagatelne znaczenie – ale może także stanowić o opóźnieniach, jeżeli zarządu źle zarządzą spółką.

Administrator nie może też odwołać ani karać Inspektora (także pośrednio, np. brakiem awansu) za wypełnianie przez niego obowiązków – z ochrony tej nie korzysta IOD, który wypełnia je nieprawidłowo lub dopuszcza się innych uchybień (np. bez usprawiedliwienia nie pojawia się w pracy). Ponadto, z racji jego niezależności, niedopuszczalne jest wydawanie Inspektorowi instrukcji odnośnie sfery jego działalności.

Do obowiązków administratora należy także wspieranie IOD w wypełnianiu przez niego zadań, zapewnianie mu niezbędnych do tego zasobów (nie tylko przedmiotów materialnych, ale też m. in. odpowiedniej ilości czasu) oraz udzielanie dostępu do danych osobowych.

Administrator musi także właściwie i niezwłocznie włączać Inspektora we wszystkie sprawy dotyczące ochrony danych osobowych, co wiąże się z jego udziałem w spotkaniach kierownictwa oraz podejmowaniu decyzji dotyczących tej materii (dzięki temu będzie mógł natychmiast zająć stanowisko wobec proponowanych rozwiązań).

Jeżeli administrator chce powierzyć mu także inne obowiązki, musi uważać by nie wywoływało to konfliktu interesów (przykładowo po mianowaniu IOD szefem marketingu, mógłby on skupić się głównie na tym zadaniu, zaniedbując ochronę danych osobowych).

Podsumowanie

Skoro dotarłeś do końca artykułu, wiesz już kim jest Inspektor Ochrony Danych, czym się zajmuje oraz jakie obowiązki wiążą się z jego obecnością w Twoim przedsiębiorstwie. Nawet jeżeli nie masz prawnego obowiązku jego wyznaczenia, rozważ, czy nie warto ponieść dodatkowych kosztów za cenę poczucia bezpieczeństwa w zakresie przetwarzania danych osobowych. Odpowiedzialność z tym związaną będziesz ponosił jako administrator, co wśród innych czynności związanych z prowadzeniem działalności, może okazać się zbyt dużym obciążeniem.  Fachowa pomoc Inspektora może okazać się w takim przypadku nieoceniona.

Pomóż nam dotrzeć do innych osób! Udostępnij ten artykuł dalej, niech więcej osób uzyska dzięki niemu potrzebną wiedzę. Dziękujemy!

Picture of Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem adwokatem, Partnerem Zarządzającym w kancelarii Creativa Legal, mentorem i twórcą internetowym. Specjalizuję się w prawie nowych technologii oraz prawnym wsparciu biznesu – w tym w szczególności e-commerce i biznesu online. Jestem ekspertem w zakresie prawnych aspektów technologii blockchain. Poznaj autora.

Newsletter, który pomoże Ci się rozwijać!

Dołącz do społeczności właścicieli, kadry zarządzającej i managerskiej w firmach takich jak Twoja!

Zaufało nam już ponad 7000 osób :)

Raz w miesiącu otrzymasz od nas wiadomość edukacyjną w ramach Twojej branży, case study prawne i biznesowe, czy masę innych wartościowych informacji. 

Po zapisaniu się odbierz od nas maila z potwierdzeniem. W razie problemów, napisz do nas. Sprawdź folder spam/oferty.

Aktywując przycisk pod formularzem, akceptujesz nasz Regulamin (w zakresie dotyczącym Newslettera) oraz wyrażasz zgodę na otrzymywanie treści edukacyjnych, informacji o produktach i usługach kancelarii Creativa Legal Korol Szczudło adwokaci sp.p., np. o nowych artykułach, kursach on-line, czy zniżkach. Zapoznaj się z naszą Polityką prywatności.