Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną w wysokości 25 tys. zł na Powiatowego Inspektora Nadzoru Budowlanego w Częstochowie za brak wyznaczenia inspektora ochrony danych. Konsekwencją tego uchybienia był oczywiście brak zgłoszenia wyznaczenia IOD do organu nadzorczego.
Opracowanie: Michał Kowalski
Wyznaczenie inspektora ochrony danych jest obowiązkowe, gdy:
przetwarzania dokonują organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości);
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Obowiązek wyznaczenia IOD spoczywa zatem przede wszystkim na organach lub podmiotach publicznych. Obowiązku tego nie wykonał Powiatowy Inspektor Nadzoru Budowlanego w Częstochowie, co skończyło się dla tego organu administracyjną karą pieniężną w wysokości 25 tys. zł. Organ ten w toku prowadzonego przez Prezesa UODO postępowania przedstawił dokumenty, które świadczyły o powierzeniu dwóm osobom obowiązków inspektora ochrony danych (np. upoważnienie do przetwarzania danych, zakres czynności wynikający z ustnego polecenia administratora).
Z dokumentów tych w ocenie organu nadzorczego wynikało pośrednio powierzenie funkcji IOD w strukturze administratora. Nie oznacza to jednak, że doszło do skutecznego wyznaczenia na stanowisko inspektora.
Prezes UODO wskazał, że wyznaczenie inspektora ochrony danych w organizacji wymaga sformalizowania w postaci aktu, który dla celów dowodowych powinien przybrać formę pisemną (np.wewnętrzne zarządzenie, uchwała, powierzenie obowiązków). Dokument ten musi w sposób nie budzący wątpliwości wskazywać na wyznaczenie inspektora ochrony danych.
Właściwym rozwiązaniem jest także precyzyjne przypisanie zakresu czynności odpowiednio do art. 39 RODO.
W sprawie zabrakło także zgłoszenia wyznaczenia IOD. Organ dokonał tego dopiero w marcu 2024 r. Przy czym do dnia wydania decyzji nakładającej karę PINB nie dokonał publikacji danych kontaktowych inspektora.
Administrator danych osobowych:
wyznacza inspektora ochrony danych (w sposób niebudzący wątpliwości),
zgłasza wyznaczenie IOD do Prezesa UODO,
publikuje dane kontaktowe IOD.
Decyzja Prezesa UODO z dnia 18 października 2024 r. (DKN.5131.7.2024)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
