Wróć do pozostałych postów

Kiedy i jak należy wyznaczyć Inspektora Ochrony Danych Osobowych w organizacji

Czy Twoja firma naprawdę potrzebuje Inspektora Ochrony Danych Osobowych (IODO)? To jedno z tych pytań, które łatwo zbyć, a które potrafi kosztować — czas, spokój i pieniądze. Zgodnie z przepisami RODO w niektórych organizacjach powołanie inspektora to obowiązek, w innych – rozsądny krok porządkujący procesy i ograniczający ryzyko. Problem polega na tym, że granica między „musisz” a „warto” nie zawsze jest oczywista.

Jeśli kierujesz firmą, prowadzisz dział operacyjny, IT, HR, marketing lub compliance — ten artykuł jest właśnie dla Ciebie. Odpowiemy w nim na najważniejsze, nurtujące większość przedsiębiorców pytania: kto ma obowiązek wyznaczyć IODO (i dlaczego akurat te podmioty) oraz jak go formalnie wyznaczyć. Zapraszamy do lektury.

Kto musi wyznaczyć IODO?

Zgodnie z art. 37 ust. 1 RODO obowiązek wyznaczenia IODO dotyczy zarówno administratorów, jak i podmiotów przetwarzających w trzech zasadniczych przypadkach:

Podmioty publiczne

Ustanowienie IODO jest obowiązkowe, gdy przetwarzania danych dokonuje organ lub podmiot publiczny (z wyłączeniem sądów w zakresie sprawowania wymiaru sprawiedliwości). W polskiej ustawie doprecyzowano, że „organami i podmiotami publicznymi” są: jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski.

Podmioty regularnie i systematycznie monitorujące osoby na dużą skalę

Powołanie IODO jest obligatoryjne także wówczas, gdy główna działalność administratora lub procesora polega na operacjach przetwarzania wymagających – ze względu na charakter, zakres lub cele – regularnego i systematycznego monitorowania osób na dużą skalę.

W rozumieniu RODO podmioty, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę, to takie, które prowadzą przetwarzanie danych osobowych w sposób ciągły i uporządkowany wobec dużej liczby osób. RODO nie podaje ścisłej definicji „dużej skali”, ale przykładowo organ czeski uznał, że próg 10 000 osób może stanowić tutaj punkt odniesienia. Regularne i systematyczne monitorowanie oznacza stałe śledzenie zachowań lub aktywności osób, a „na dużą skalę” odnosi się do liczby osób i rozległości tego monitorowania.

Przykłady podmiotów, które w rozumieniu RODO można uznać za regularnie i systematycznie monitorujące osoby na dużą skalę, to np.:

  • operatorzy telekomunikacyjni, którzy monitorują dane użytkowników, np. na potrzeby geolokalizacji,
  • firmy świadczące usługi dostarczania, śledzące użytkowników aplikacji na poziomie geolokalizacji, jak np. Glovo;
  • podmioty prowadzące monitoring miejsc publicznych przy użyciu kamer wizyjnych, kamer internetowych, dronów lub systemów monitoringu na dużą skalę, np. monitoring wizyjny w przestrzeniach publicznych
  • pracodawcy dokonujący systematycznego monitoringu pracowników, np. poprzez RFID, GPS, telefony komórkowe, monitoring wizyjny, a także prowadzący tzw. "tajne śledztwa" czy tworzący czarne listy pracowników;
  • szpitale i placówki medyczne przetwarzające dane pacjentów na dużą skalę.

Podmioty przetwarzające na dużą skalę dane szczególne lub dane o wyrokach i czynach zabronionych

W rozumieniu RODO podmioty przetwarzające na dużą skalę szczególne kategorie danych osobowych (tzw. dane wrażliwe, np. dane zdrowotne, dane biometryczne) lub dane o wyrokach i czynach zabronionych to takie, których główną działalnością jest wykonywanie operacji na tych danych o charakterze systematycznym i w dużym zakresie.

RODO nie definiuje dokładnie "dużej skali", ale motyw 91 oraz wytyczne Grupy Roboczej Art. 29 wskazują, że jest to m.in. uwzględnienie liczby osób, zakresu i czasu przetwarzania oraz geograficznego zasięgu. Przykładem podmiotu operującego w „dużej skali” może być placówka medyczna (szpital), w przypadku którego, przetwarzanie danych zdrowotnych jest konieczne w ramach jego podstawowej działalności.

Kto może (fakultatywnie) wyznaczyć IOD i jakie kwalifikacje powinien on posiadać?

Jeśli konkretna organizacja nie spełnia przesłanek z art. 37 ust. 1 RODO, powołanie IODO jest całkowicie dobrowolne. Urząd Ochrony Danych Osobowych rekomenduje jednak, by nawet przy braku takiego obowiązku przeprowadzić wewnętrzną procedurę oceny i wykazać tym samym sprawa powołania Inspektora została wszechstronnie przeanalizowana.

Inspektora Ochrony Danych Osobowych wyznacza się na podstawie kwalifikacji zawodowych, w szczególności fachowej wiedzy o prawie i praktykach ochrony danych oraz umiejętności realizacji zadań z art. 39 RODO. Poziom wiedzy powinien być adekwatny do profilu działalności danej firmy (tj. inny dla podmiotu medycznego, a inny dla software house’u).

IODO może być pracownikiem firmy lub działać na podstawie umowy o świadczenie usług (zewnętrzny IOD). Takie rozwiązania zostały wprost przewidziane w przepisach RODO. Wybór konkretnego modelu warto uzależnić od potrzeb i dostępności kompetencji.

Podstawowym zadaniem IODO jest wspieranie przestrzegania RODO i budowanie kultury ochrony danych w organizacji. Dlatego — poza „twardą” wiedzą — liczą się rzetelność i wysoka etyka zawodowa. Poziom eksperckości powinien być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w Twojej firmie.

Jeżeli działasz w grupie przedsiębiorstw, RODO dopuszcza wyznaczenie jednego IOD dla całej grupy.

Jak formalnie wyznaczyć IODO i jakie obowiązki zgłoszeniowe należy wykonać?

Formalne wyznaczenie Inspektora Ochrony Danych Osobowych (IOD) w firmie lub spółce przebiega w kilku krokach:

  1. Wybór osoby na stanowisko IOD, która powinna posiadać fachową wiedzę o przepisach i praktykach ochrony danych osobowych, a także być niezależna i pozbawiona konfliktu interesów.
  2. Powołanie IOD na piśmie, z jednoczesnym określeniem jego statusu (czy jest pracownikiem organizacji, czy usługodawcą zewnętrznym) oraz przygotowaniem opisu stanowiska lub umowy określającej zakres obowiązków.
  3. Zgłoszenie powołania IOD do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ciągu 14 dni od wyznaczenia; zgłoszenia dokonasz za pośrednictwem platformy biznes.gov.pl lub ePUAP. Zgłoszenie musi zawierać imię, nazwisko, adres e-mail lub numer telefonu inspektora oraz dane administratora danych (np. nazwę firmy, adres, REGON).
  4. Udostępnienie danych kontaktowych IOD na stronie internetowej firmy lub w siedzibie przedsiębiorstwa, jeśli nie posiada strony www.

Powołanie IOD w ten sposób jest zgodne z przepisami RODO i krajowymi przepisami o ochronie danych osobowych, zapewniając formalne i transparentne wyznaczenie inspektora ochrony danych.

Zadania IOD w organizacji

Inspektor Ochrony Danych to „wewnętrzny kompas” firmy w sprawach prywatności. Jego pierwszą rolą jest doradztwo: tłumaczy przepisy RODO i krajowe regulacje na proste, wykonalne zasady działania. Gdy marketing planuje nową kampanię, HR wdraża system rekrutacyjny, a IT uruchamia kolejną aplikację — IOD pomaga rozpoznać ryzyka, dobrać podstawy prawne i wskazać minimalny zakres danych. Dzięki temu zespół wie, co robić, a decyzje zapadają świadomie.

Drugi filar pracy IOD to monitorowanie zgodności. W praktyce oznacza to plan szkoleń (krótkie, konkretne, dopasowane do roli), przeglądy procedur oraz okresowe audyty tego, jak dane są faktycznie przetwarzane. IOD nie „poluje na błędy”; raczej sprawdza, czy to, co zapisane w politykach, działa w codzienności, tzn. czy dostęp mają właściwe osoby, czy retencja jest pilnowana, czy zgody są zbierane i archiwizowane tak, aby dało się wykazać rozliczalność.

Istotnym obszarem wsparcia jest ocena skutków dla ochrony danych (DPIA). Kiedy firma planuje projekt o podwyższonym ryzyku, IODO pomaga ocenić, jakie zagrożenia mogą dotknąć klientów czy pracowników i jak je zminimalizować, począwszy od projektowych ustawień prywatności, przez ograniczenie zakresu danych, po dodatkowe zabezpieczenia techniczne i organizacyjne.

IODO pełni również rolę łącznika na zewnątrz. Współpracuje z organem nadzorczym i jest punktem kontaktowym, tak dla Urzędu, jak i dla osób, których dane dotyczą. Gdy pojawia się żądanie dostępu do danych, sprostowania czy sprzeciwu, IODO koordynuje udzielenie odpowiedzi: pomaga zidentyfikować dane, ocenić podstawę prawną i dotrzymać terminów. W sytuacjach kryzysowych, np. przy naruszeniu ochrony danych, wspiera analizę ryzyka i procedurę zgłoszenia.

Należy przy tym pamiętać, że wykonując swoje działania IODO działa niezależnie. Doradza, ostrzega i rekomenduje, ale to kierownictwo firmy podejmuje decyzje i ponosi odpowiedzialność za zgodność przetwarzania z przepisami. Aby inspektor mógł należycie wykonywać swoje zadania organizacja musi dać mu realny dostęp do informacji, procesów i ludzi, a także zadbać o rzetelność i wysoką etykę osoby pełniącej funkcję. Dobrze ułożona współpraca sprawia, że IODO jest partnerem, który pomaga bezpiecznie osiągać cele biznesowe.

Podsumowanie

Jeśli Twoja organizacja należy do podmiotów publicznych, regularnie i systematycznie monitoruje osoby na dużą skalę albo przetwarza na dużą skalę dane szczególnych kategorii lub dane o wyrokach — wyznaczenie IOD jest obowiązkowe. W pozostałych przypadkach to po prostu decyzja biznesowa, która (w przypadku odpowiedniej implementacji) może zaoszczędzić wielu nerwów i kosztów w przyszłości.

Powołanie IODO związane jest z koniecznością dopełnienia kilku formalności: zgłoszenia do Prezesa UODO w 14 dni, upublicznienia danych kontaktowych i bieżącej aktualizacji zgłoszeń. Rola inspektora to praktyczne doradztwo, monitorowanie zgodności, wsparcie DPIA oraz kontakt z organem i osobami, których dane dotyczą — ale odpowiedzialność za zgodność wciąż spoczywa na firmie. Dobrze dobrany i właściwie osadzony IODO porządkuje procesy, ogranicza ryzyka i pomaga realizować cele biznesowe bezpiecznie i zgodnie z prawem.

Justyna Papierska-Mazurek
Justyna Papierska-Mazurek
Wspólnik / Adwokat

Absolwentka Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu. Członek Wielkopolskiej Izby Adwokackiej.


Czytaj dalej, wybierz temat:

Prawo spółek
Prawo pracy
Upadłość i restrukturyzacja
Własność intelektualna
Odszkodowania
Podatki i finanse
Ochrona danych osobowych
Lombardy
Umowy handlowe
Orzecznictwo i zmiany w prawie
Ciekawostki biznesowe i prawne
(
Głosów )

Potrzebujesz pomocy prawnej doświadczonego adwokata?

+48 61 221 63 59

Wyślij wiadomość



Warte przeczytania:

Ochrona wspólnika mniejszościowego w spółce z o.o.
PRAWO
Ochrona wspólnika mniejszościowego w spółce z o.o.

Czytaj więcej

Kiedy i jak należy wyznaczyć Inspektora Ochrony Danych Osobowych w organizacji
PRAWO
Kiedy i jak należy wyznaczyć Inspektora Ochrony Danych Osobowych w organizacji

Czytaj więcej

Skutki nieodnowienia mandatu członka zarządu w spółce z o.o.
PRAWO
Skutki nieodnowienia mandatu członka zarządu w spółce z o.o.

Czytaj więcej

Strona głównaZespółReferencjeCennikKontakt
KarieraBlogPolityka prywatnościPolityka CookiesDostosuj zgody cookies
facebookLinkedIn
Siedziba kancelarii:

ul. Wyspiańskiego 11/3
60-749 Poznań

Regon: 302739734
NIP: 7792422386
Copyright © 2021-2024 Kancelaria Adwokacka Adwokat Jaśkiewicz & Papierska. Wszystkie prawa zastrzeżone.
Szanujemy Twoją prywatność

Używamy plików cookie, aby poprawić jakość przeglądania strony, wyświetlać treści dostosowane do indywidualnych potrzeb użytkowników oraz analizować ruch na stronie. Kliknięcie przycisku „Akceptuj wszystkie” oznacza zgodę na wykorzystywanie przez nas plików cookie. Zgodę wyrażasz dobrowolnie i możesz ją w każdym momencie wycofać lub ponowić klikając w odnośnik Dostosuj zgody. Polityka plików cookies, polityka prywatności
Dostosuj zgodyOdrzućAkceptuj wszystko