Powołany IOD co dalej ? Procedura zgłaszania do Urzędu Ochrony Danych Osobowych

Czy w Twojej firmie miałeś dotychczas wyznaczonego Administratora Bezpieczeństwa Informacji. Chcesz, aby osoba ta nadal pełniła funkcję, jako Inspektor Ochrony Danych? Powołałeś Inspektora Ochrony Danych w Twojej firmie? Kogo masz obowiązek powiadomienia o tym fakcie? Nie przegap terminów na zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych.

 

Jeśli zgodnie z art.37 ust.1 Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE ( w dalszej części zwane RODO) twoja firma należy do kategorii podmiotów, które zobowiązane są do wyznaczenia IOD albo, co prawda nie mają takiego prawnego obowiązku, ale dobrowolnie wyznaczyły IOD wówczas, stosowanie do art.37 ust.7 RODO masz obowiązek opublikować dane kontaktowe IOD oraz zawiadomić organ nadzorczy tj. Prezesa Urzędu Ochrony Dany Osobowych (dalej Prezes Urzędu). Obowiązek ten rozciąga się również na te podmioty, które przed wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. Nr 1000, 2018), która weszła w życie z dniem 25 maja 2018 r. ( w dalszej części zwana Ustawą) i zastąpiła dotychczasową ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – miały powołanego administrator bezpieczeństwa informacji (dalej ABI).

Jeśli chodzi o obowiązek podania danych kontaktowych IOD, to wynika to zarówno z art.13 ust.1 lit b (RODO), jak i z art. 14 ust.1 lit. b (RODO). Przepisy te dotyczą tzw. obowiązków informacyjnych, czyli obowiązku podania przez administratora lub podmiot przetwarzający osobie, której dane są pozyskiwane, czy to bezpośrednio od osoby, której dane dotyczą, czy też w inny sposób niż od osoby, której dane dotyczą określonych informacji dotyczący m.in. tego, kto, w jakim celu i na jakiej podstawie zamierza przetwarzać dane osobowe. Zgodnie z tym wymogiem administrator lub podmiot przetwarzający podaje osobie, której dane dotyczą m.in. dane kontaktowe IOD. Oczywiście dotyczy to tylko takich przypadków, w których administrator lub podmiot przetwarzający wyznaczyli IOD. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych w art. 10 ust.1 dookreśla, o jakie dane kontaktowe IOD chodzi. Mowa jest w tym przypadku o imieniu i nazwisku, adresie poczty elektronicznej (IOD powinien mieć dedykowany dla niego adres e-mailowy) oraz numerze telefonu, pod którym można skontaktować się z IOD. Informacja o danych kontaktowych IOD powinna też być podana na stronie internetowej administratora lub podmiotu przetwarzającego a także np. w regulaminach sklepów internetowych, jeśli dany podmiot prowadzi taką działalność. Jeśli zaś podmiot nie prowadzi własnej strony internetowej podaje dane kontaktowe IOD, o których mowa powyżej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Co zaś się tyczy obowiązku notyfikacji organu nadzorczego tj. Prezesa Urzędu o wyznaczeniu IOD, to kwestię tę regulują aktualnie przepisy ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, a konkretnie art.158. Z tym, że przepisy Ustawa rozróżniają tu dwa stany faktyczne: (i) sytuację, w której przed dniem 24 maja 2018 r. (dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) administrator miał powołanego ABI, oraz (ii) sytuację, w której administrator przed dniem wejścia w życie Ustawy nie powołał ABI, ale zgodnie z art. 37 ust.1 RODO jest zobowiązany do jego wyznaczenia. Odrębną kategorię stanowią natomiast te podmioty, które w świetle art.37 ust.1 RODO, nie mają obowiązku powołania IOD, ale wyznaczyły go niejako dobrowolnie. Jeśli chodzi o sytuację opisaną w pkt (i) powyżej to zgodnie z art.158 ust.1 Ustawy osoba, która w dniu 24 maja 2018 r. pełniła funkcję ABI (zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych) staje się ( z mocy prawa) IOD i pełni swoją funkcję do dnia 1 września 2018 r., chyba, że przed tym dniem administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na IOD, w sposób określony w art.10 ust.1 Ustawy. Jednocześnie zgodnie z art.158 ust.2 Ustawy, osoba pełniąca w dniu 24 maja 2018 r. funkcję ABI, która stała się z dniem 25 maja 2018 r. IOD (stosowanie do art.158 ust.1 Ustawy) może pełnić funkcję IOD także po dniu 1 września 2018 r., jeżeli do tego dnia ( a więc do 1 września 2018 r.) administrator zawiadomi o jej wyznaczeniu Prezesa Urzędu w sposób określony w art. 10 ust.1 Ustawy. Innymi słowy, jeśli powołany u nas ABI, który z dniem 25 maja 2018 r. stał się IOD, ma nadal (tj. po 1 września 2018 r.) pełnić u nas funkcję IOD – to do tego dnia powinniśmy ponownie zawiadomić Prezesa Urzędu o jej wyznaczeniu w sposób, o którym mowa w art.10 ust.1 Ustawy. Odnośnie sytuacji opisanej w pkt (ii) powyżej to, jeśli administrator, który przed dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych nie wyznaczył ABI, a obecnie w świetle art. 37 ust.1 RODO jest zobowiązany do wyznaczenia IOD powinien był zawiadomić o tym Prezesa Urzędu, w sposób określony w art.10 ust.1 Ustawy w terminie do dnia 31 lipca 2018 r. Podobnie podmioty przetwarzające, które stosownie do art. 37 ust.1 RODO obowiązane są do wyznaczenia IOD, powinny to uczynić i zawiadomić Prezesa Urzędu, w sposób określony w art.10 ust.1 Ustawy w terminie do 31 lipca 2018 r.

Procedurę zawiadamiania Prezesa Urzędu o wyznaczeniu IOD, a także wszelkich zmiana danych IOD lub odwołaniu IOD określa art.10 Ustawy. Dotyczy ona wszystkich podmiotów zgłaszających wyznaczenie IOD, niezależnie od tego czy mają one prawny obowiązek wyznaczenia IOD, czy też nie. Zgodnie z art. 10 ust.1 Ustawy podmiot, który wyznaczył IOD zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazują imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Należy jednak pamiętać, że podany powyżej termin dotyczy przypadków „nowego” wyznaczenia IOD i nie należy go stosować w oderwaniu od terminów wskazanych w art. 158 Ustawy. Zawiadomienie może być złożone przez pełnomocnika podmiotu, z tym, że do zawiadomienia dołącza się wtedy pełnomocnictwo udzielone w formie elektronicznej. W przypadku działania przez pełnomocnika należy pamiętać o obowiązku uiszczenia opłaty skarbowej od udzielonego pełnomocnictwa w wysokości 17 złotych. W zawiadomieniu, oprócz danych IOD, należy podać również :

1. Imię i nazwisko oraz adres zamieszkania, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;
2. Firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;
3. Pełną nazwę oraz adres siedziby, w przypadku, gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt 1 i 2;
4. Numer identyfikacyjny REGON, w przypadku, gdy został nadany administratorowi lub podmiotowi przetwarzającemu.

Podmiot, który wyznaczył IOD, zobowiązany jest zawiadomić Prezesa Urzędu, o każdej zmianie danych, o których mowa powyżej oraz o odwołaniu IOD, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

To, o czym należy pamiętać w związku procedurą zawiadamiania Prezesa Urzędu o wyznaczeniu IOD oraz wszelkich zmianach z tym związanych to to, że sporządza się je wyłącznie w postaci elektronicznej (wzory na stronie Urzędu Ochrony Danych Osobowych: BIZNES.GOV.PL) i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP lub podopisywać dokumenty logowaniem do bankowości elektronicznej. Ustawa nie przewiduje, zatem możliwości składania takich zawiadomień w tradycyjnej formie pisemnej.

 

Wojciech Ostrowski Radca prawny w Kancelarii Rachelski i Wspólnicy