Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Jak formalnie powołać Inspektora Ochrony Danych i zgłosić go do rejestru Prezesa Urzędu Ochrony Danych Osobowych?

31/10/2018

Inspektor Ochrony Danych, Obowiązek Administratora, Obowiązek Podmiotu Przetwarzającego,

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych osobowych) - dalej zw. RODO, wprowadza w niektórych przypadkach obowiązek powołania Inspektora Ochrony Danych (dalej: Inspektor lub IOD), lecz nie precyzuje ani metody ani sposobu, w jaki należy powołać Inspektora oraz zgłosić go do rejestru Prezesa Urzędu Ochrony Danych Osobowych.


W jaki zatem sposób prawidłowo powołać Inspektora Ochrony Danych?

 

 

W pierwszej kolejności należy zaznaczyć, iż wewnętrzna czynność powołania IOD zależeć będzie przede wszystkim od formy prawnej danego podmiotu, czy danej organizacji oraz ustanowionych wewnętrznie procedur podejmowania decyzji.

 

 

Osoba prowadząca jednoosobową działalność gospodarczą, co do zasady nie jest zobligowana do podejmowania formalnego aktu powołania Inspektora, zaś już w przypadku spółek prawa handlowego w zależności od zasad prowadzenia spraw danej spółki akt powołania IOD może stanowić uchwała zarządu lub uchwała wspólników. Uchwałę podejmą także wspólnicy spółki cywilnej. Dyrektor szkoły lub dyrektor szpitala powoła Inspektora, np. w drodze zarządzenia.

 

 

W razie wątpliwości Inspektora powinna powołać ta osoba lub ten organ, który został formalnie wyznaczony do prowadzenia spraw danego podmiotu, czy danej organizacji.

 

 

Fakt powołania inspektora oraz zakres jego działań powinien znaleźć też  odzwierciedlenie w regulaminie organizacji, gdy taki obowiązuje.

 

 

Nie ulega wątpliwości, iż IOD pełni w każdej organizacji na tyle doniosłą funkcję, iż nie można pozwolić, aby wadliwa czynność prawna mogła uniemożliwić jego działanie, zachwiać jego pozycją i statusem lub wzruszyć dokonane przez niego działania (np. przeprowadzone audyty). Nadto, dokument formalnie powołujący daną osobę na funkcję Inspektora powinien zostać zachowany dla celów dowodowych. Warto w wewnętrznym akcie powołującym Inspektora dokładnie oznaczyć zakres jego kompetencji, aby uniknąć w przyszłości nieporozumień na tle wykonywania funkcji IOD.

 

 

Akt wewnętrzny (uchwała, zarządzenie, decyzja) powołujący Inspektora ma charakter konstytutywny, zaś jego zgłoszenie do rejestru stanowi czynność deklaratywną.

 

 

 

W jaki sposób zgłosić Inspektora Ochrony Danych do rejestru Prezesa Urzędu Ochrony Danych Osobowych?

 

 

Zgłoszenie do rejestru Inspektora Ochrony Danych stanowi jedną z tych czynności, którą europejski ustawodawca pozostawił do uregulowania Państwom Członkowskim UE, zatem w RODO brak jest procedury opisującej tryb zgłoszenia IOD do organu nadzoru.

Zgodnie z  ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018, poz. 1000) administrator lub podmiot przetwarzający mają obowiązek w ciągu 14 dni od wyznaczenia IOD zawiadomić Prezesa Urzędu Ochrony Danych Osobowych. Nie wymaga się dołączania kopii, czy odpisu aktu, mocą którego powołano IOD, ani także umowy łączącej administratora z IOD (np. umowy o pracę, czy też umowy cywilnoprawnej).

 

 

Zgłoszenia można dokonać wyłącznie drogą elektroniczną, bowiem ustawodawca nie przewidział żadnej z dotychczas praktykowanych form tradycyjnych (np. przesłania formularza za pomocą listu poleconego). Zawiadomienie może zostać dokonane przez pełnomocnika danego podmiotu, co będzie wiązało się z koniecznością uiszczenia stosownej opłaty skarbowej. W przypadku wyznaczenia jednego IOD przez grupę przedsiębiorstw, każdy z tych podmiotów dokonuje zgłoszenia samodzielnie.

 

 

Na stronie internetowej Urzędu Ochrony Danych Osobowych dostępne są usługi umożliwiające wypełnienie i przesłanie do Prezesa Urzędu Ochrony Danych Osobowych stosownych zawiadomień  tj. zawiadomienia o wyznaczeniu nowego Inspektora Ochrony Danych (IOD), zawiadomienia o zmianie danych kontaktowych dotychczasowego Inspektora Ochrony Danych, zawiadomienia o odwołaniu dotychczasowego Inspektora Ochrony Danych oraz zawiadomienia o odwołaniu dotychczasowego i wyznaczeniu nowego Inspektora Ochrony Danych.

 

 

Zawiadomienie, które jest usługą bezpłatną, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Niezwłocznie po prawidłowym przesłaniu zawiadomienia, administrator, podmiot przetwarzający lub występujący w sprawie pełnomocnik otrzymują urzędowe poświadczenie złożenia dokumentu.

 

 

Należy pamiętać, iż zgłoszenie Inspektora Ochrony Danych, mimo deklaratywnego charakteru,  wiąże się także z obowiązkiem udostępnienia przez administratora lub podmiot przetwarzający danych IOD na swojej stronie internetowej, a jeżeli strona nie jest prowadzona, udostępnienia danych IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności (zobacz artykuł  Jakie dane Inspektora Ochrony Danych należy udostępnić).

 

 

Warto także pamiętać, iż administrator lub podmiot przetwarzający, który wyznaczył Inspektora, powinien zawiadomić Prezesa Urzędu Ochrony Danych Osobowych, o każdej zmianie danych, dotyczących wyznaczenia IOD oraz o odwołaniu IOD w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

 

 

Konrad Wysocki, adwokat

Inspektor Ochrony Danych, Obowiązek Administratora, Obowiązek Podmiotu Przetwarzającego,
Rejestr czynności przetwarzania danych osobowych zastąpi rejestrację zbiorów w GIODO
Rejestr czynności przetwarzania danych osobowych zastąpi rejestrację zbiorów w GIODO
Zmiana administratora bezpieczeństwa informacji w rejestrze GIODO
Zmiana administratora bezpieczeństwa informacji w rejestrze GIODO
Rejestracja zbiorów danych przez szkołę
Rejestracja zbiorów danych przez szkołę