Jak zgłosić wyznaczenie IOD? 8 wskazówek technicznych dla ADO

Na administratorze danych osobowych lub na podmiocie przetwarzającym spoczywa obowiązek wyznaczenia inspektora ochrony danych, gdy:

• przetwarzania dokonują organ lub podmiot publiczny (jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski), z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 37 RODO, art. 9 ustawy o ochronie danych osobowych).

Administrator danych lub podmiot przetwarzający może wyznaczyć IOD, także wówczas gdy nie ma takiego obowiązku, ale uzna to za wskazane.

Wyznaczenie IOD w sferze wewnętrznej administratora danych osobowych wiąże się z koniecznością:

• zmiany struktury organizacyjnej ADO przez utworzenie stanowiska inspektora ochrony danych;
• powierzenia obowiązków IOD konkretnej osobie fizycznej.

Powierzenie obowiązków IOD może nastąpić poprzez zatrudnienie nowego pracownika na podstawie umowy o pracę ale też zmianę warunków zatrudnienia dotychczasowego (np. poprzez zawarcie porozumienia zmieniającego lub dokonanie wypowiedzenia warunków pracy i płacy). Nic nie stoi na przeszkodzie nawiązaniu współpracy z IOD na podstawie umowy cywilnoprawnej. Inspektor ochrony danych może być bowiem  członkiem personelu administratora lub podmiotu przetwarzającego ale też wykonywać zadania na podstawie umowy o świadczenie usług (art. 37 ust. 6 RODO).

To jednak nie wszystko. Administrator danych osobowych, który wyznaczył IOD musi również zawiadomić Prezesa UODO o jego wyznaczeniu. Termin na dokonanie zawiadomienia wynosi 14 dni od dnia wyznaczenia IOD (art. 10 ust. 1 ustawy o ochronie danych osobowych).

Nie wszystkie podmioty obowiązuje ww. 14-dniowy termin. Jeżeli bowiem administrator danych osobowych lub podmiot przetwarzający przed 25 maja 2018 r. nie powołał administratora bezpieczeństwa informacji, a jest zobowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 RODO, wówczas powinien wyznaczyć IOD w terminie do dnia 31 lipca 2018 r. W tym samym terminie powinno też zostać dokonane zgłoszenie wyznaczenia IOD.

Jeżeli natomiast administrator danych osobowych lub podmiot przetwarzający przed 25 maja 2018 roku miał powołanego administratora bezpieczeństwa informacji, to może po 25 maja 2018 r. dalej zatrudniać tę osobę jako inspektora ochrony danych. W takiej sytuacji powinien zawiadomić Prezesa UODO o wyznaczeniu IOD w terminie do dnia 1 września 2018 r.

W art. 10 ust. 6 ustawy o ochronie danych osobowych wskazano wyraźnie, że zgłoszenia wyznaczenia IOD dokonuje się w formie elektronicznej. Forma pisemna pełnomocnictwa nie jest więc dopuszczalna.

Czym jest forma elektroniczna? Otóż w art. 10 ust. 6 ustawy o ochronie danych osobowych wskazane jest, że jest to dokument elektroniczny opatrzony kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

W praktyce zawiadomienia dokonuje się przez stronę ewnioski.biznes.gov.pl. Po wybraniu z menu z lewej strony „Ochrona danych osobowych” zyskujemy dostęp m.in. do usługi „Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych (IOD”). Następnie powinniśmy postępować zgodnie z instrukcjami na ekranie. Sprawa zostanie załatwiona od razu. Dokonanie zgłoszenia potwierdza urzędowe poświadczenie przedłożenia zawiadomienia.

Obowiązek dokonania zawiadomienia o wyznaczeniu IOD spoczywa na administratorze danych osobowych, jak również na podmiocie przetwarzającym. Co oczywiste, w tym zakresie administrator może być reprezentowany przez upoważnioną osobę lub organ np. zarząd w spółce z o.o., prezydent miasta w przypadku miasta na prawach powiatu czy też pełnomocnik osoby fizycznej prowadzącej działalność gospodarczą. Jest to bardzo dobre rozwiązanie zwłaszcza w przypadku, gdy podmiot decyzyjny nie ma czasu lub możliwości dokonania zawiadomienia w ustawowym 14-dniowym terminie.

Jeżeli zgłoszenie jest dokonywane za pośrednictwem pełnomocnika, wówczas konieczne jest, poza dołączeniem pełnomocnictwa, uiszczenie opłaty skarbowej od pełnomocnictwa i dołączenie potwierdzenia jej uiszczenia do zawiadomienia i samego pełnomocnictwa.

Opłaty skarbowej od uiszczonego pełnomocnictwa nie uiszcza się jedynie wówczas, gdy składane pełnomocnictwo zostało udzielone małżonkowi, wstępnemu, zstępnemu lub rodzeństwu.

W zawiadomieniu o wyznaczeniu IOD należy zawrzeć liczne informacje dotyczące zarówno administratora danych osobowych, jak również wyznaczonego IOD.

W odniesieniu do ADO należy wskazać:

• imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna,
• firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą,
• pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż osoba fizyczna,
• numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu (art. 13 ust. 3 ustawy o ochronie danych osobowych).

W odniesieniu do IOD konieczne jest natomiast podanie:

• imienia i nazwiska IOD,
• adresu poczty elektronicznej lub numeru telefonu IOD (art. 13 ust. 1 ustawy o ochronie danych osobowych).

W przypadku gdy kilka podmiotów zdecydowało się na ustanowienie wspólnego IOD, obowiązek zawiadomienia Prezesa UODO o ustanowieniu takiego inspektora spoczywa z osobna na wszystkich administratorach, którzy dokonali wspólnego wyznaczenia (art. 10 ust. 5 ustawy o ochronie danych osobowych).

Obowiązek dokonania zgłoszenia dotyczy również:

• zmiany którejkolwiek z danych, zamieszczonych w zgłoszeniu wyznaczenia IOD (odrębnie w odniesieniu do danych dotyczących IOD i AOD),
• odwołania IOD (art. 6 ust. 4 ustawy o ochronie danych osobowych).

Skuteczne zgłoszenie wyznaczenia IOD nie oznacza jeszcze końca całej procedury. Administrator danych osobowych lub podmiot przetwarzający, który wyznaczył IOD, musi bowiem niezwłocznie po jego wyznaczeniu udostępnić jego dane (tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu), na swojej stronie internetowej, zaś jeśli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (np. na zakładowej tablicy ogłoszeń, o ile jest ona dostępna również dla osób trzecich) – art. 11 ustawy o ochronie danych osobowych.