Kiedy powołanie Inspektora Ochrony Danych jest obowiązkowe?
W art. 37 ust. 1 RODO[1] wskazano przypadki, w których w organizacji należy powołać Inspektora Ochrony Danych (dalej także: „Inspektor” lub „IOD”). Z takiego brzmienia przepisu wywieść należy, że istnieją podmioty, które zobowiązane będą do powołania Inspektora, jak i takie, w których nie jest to obligatoryjne.
Zgodnie z ww. przepisem obowiązek powołania IOD mają:
- organy oraz podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości – niezależnie od zakresu przetwarzanych danych osobowych,
- podmioty, których główna działalność oparta jest na operacjach przetwarzania związanych z regularnym i systematycznym monitorowaniem osób, na dużą skalę oraz
- podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (art. 9 RODO) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa (art. 10 RODO).
Badanie wypełnienia powyższych przesłanek należy przeprowadzić w stosunku do danych, które podmiot przetwarza nie tylko jako administrator danych osobowych, ale i również jako podmiot przetwarzający.
Uszczegółowienie zakresu organów oraz podmiotów publicznych zobowiązanych do powołania IOD zamieszczono w art. 9 UODO[2]. Pozostałe elementy powyższych przesłanek, jak „główna działalność” czy „duża skala” mają charakter niedookreślony i ocenny. Niezbędne będzie zatem posiłkowanie się wytycznymi właściwych organów, w tym wskazówkami, zawartymi w wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (dalej: „Wytyczne”).
Kto może zostać powołany jako Inspektor Ochrony Danych? Jaki jest status IOD?
RODO wymaga, aby na stanowisko IOD powołana została osoba posiadająca odpowiednie kwalifikacje zawodowe, w szczególności aby posiadała wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętność wypełniania zadań z zakresu ochrony danych osobowych. Ważnym jest również, aby IOD posiadał rzeczywistą wiedzę w zakresie funkcjonowania organizacji.
Inspektorem może zostać osoba spoza organizacji, jak i taka, która już jest zatrudniona/ współpracuje z organizacją. Istotnym jest, że podmiot powołujący IOD musi zapewnić, aby inne zadania lub obowiązki wykonywane przez IOD nie powodowały konfliktu interesów. Zgodnie z Wytycznymi IOD nie powinien zajmować dodatkowego stanowiska, które związane byłoby z określaniem celów i sposobów przetwarzania danych osobowych.
Inspektor w wykonywaniu swoich zadań jest niezależny. Organizacja powołująca IOD zobowiązana jest do dbania, by nie otrzymywał on żadnych instrukcji, które mogłyby mieć wpływ na wykonywanie przez niego zadań. Zgodnie z art. 38 ust. 3 RODO IOD podlega najwyższemu kierownictwu organizacji. Za wykonywanie swoich zadań nie może być karany ani odwoływany.
Zadania IOD
Zadaniem IOD jest przede wszystkim pełnienie funkcji doradczej, konsultacyjnej oraz kontrolnej. Przejawia się to nie tylko we wspieraniu administratora lub procesora w prawidłowym ukształtowaniu wszelkich procesów przetwarzania danych osobowych, informowaniu o spoczywających na podmiocie powołującym IOD obowiązkach, ale i również bieżącym wspieraniu pracowników i współpracowników podmiotu w wykonywaniu ich zadań. Oczywiście Inspektor Ochrony Danych pełni także rolę punktu kontaktowego we wszelkich sprawach kierowanych przez osoby, których dane dotyczą, związanych z przetwarzaniem ich danych osobowych przez organizację.
Prawidłowe pełnienie funkcji Inspektora wymaga od powołanej osoby zajmowania się całością procesów przetwarzania danych osobowych w organizacji. Nie jest możliwe powierzenie Inspektorowi jedynie wycinka przetwarzania, dokonywanego przez dany podmiot.
IOD, na mocy art. 39 RODO, zobowiązany jest także do bieżącego monitorowania przestrzegania przepisów z zakresu ochrony danych osobowych przez organizację, w której został powołany, jak i wszelkiej wdrożonej w podmiocie dokumentacji wyznaczającej zasady przetwarzania danych. Zobowiązany jest do podejmowania działań zwiększających świadomość osób, uczestniczących w procesach przetwarzania danych osobowych, z zakresu ochrony danych osobowych, w tym do prowadzenia szkoleń.
IOD pełni także funkcję punktu kontaktowego dla organu nadzorczego w sprawach związanych z przetwarzaniem danych osobowych przez organizację, jak i zobowiązany jest do współpracy z organem nadzorczym.
Oczywiście IOD powinien także stale monitorować zmiany w przepisach prawa, wydawane przez uprawnione organy zalecenia i wytyczne, jak i wydawane przez organy rozstrzygnięcia w sprawach z zakresu ochrony danych osobowych.
Czy mogę powołać IOD, gdy przepisy prawa nie wymagają tego od mojej organizacji?
Inspektor może być także powołany na mocy dobrowolnej decyzji administratora. Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych) w Wytycznych zachęca do takiego postępowania. W takim przypadku należy jednak pamiętać, iż wymogi określone w RODO dot. wyznaczenia Inspektora, jego statusu oraz obowiązków stosuje się odpowiednio tak, jak gdyby IOD powoływany był obligatoryjnie.
Podejmując decyzję o wyznaczeniu bądź braku wyznaczenia Inspektora należy rozważyć również czy pomimo braku takiego obowiązku prawnego na mocy art. 37 RODO, powołanie IOD nie jest wymagane ze względu na konieczność zapewnienia odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przetwarzanych danych osobowych.
W przypadku braku powołania Inspektora, rekomendujemy udokumentowanie analizy zawierającej argumentację będącą podstawą podjęcia takiej decyzji – na wypadek ewentualnej kontroli ze strony organu.
Czy mogę powołać jednego Inspektora do obsługi grupy przedsiębiorstw?
W RODO wprost przewidziano możliwość powołania jednego IOD dla grupy przedsiębiorstw. Warunkiem jest jednak wymóg łatwego nawiązania z nim kontaktu z każdej jednostki organizacyjnej. Z praktycznego punktu widzenia, w przypadku międzynarodowych grup przedsiębiorstw powołujących IOD z innego państwa, posunięcie takie wymagać będzie od organizacji podjęcia dodatkowych działań celem zapewnienia sprawnie funkcjonującej ścieżki komunikacji, zarówno dla uprawnionych organów, ale i przede wszystkim dla podmiotów danych, w ich języku ojczystym.
Zgłoszenie IOD do Prezesa Urzędu Ochrony Danych Osobowych
Niezależnie czy IOD powołany został w związku z obowiązkiem administratora czy na podstawie jego dobrowolnej decyzji, podmiot powołujący jest zobowiązany – zgodnie z art. 10 ust. 1 UODO – do zgłoszenia IOD do Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia jego powołania. Jak przypomina organ nadzorczy skuteczne zawiadomienie organu o Inspektorze może być dokonane jedynie w formie elektronicznej (art. 10 ust. 6 UODO). W takiej samej formie należy zgłaszać wszelkie zmiany danych Inspektora, jak i informacje o jego odwołaniu.
Jednocześnie wspomnieć trzeba, iż Prezes UODO jedynie przyjmuje do wiadomości przesyłane przez firmy informacje o powołaniu inspektorów ochrony danych. Dane te umożliwiają organowi kontakt z IOD bez poszukiwania o nim danych kontaktowych. Dane Inspektorów Ochrony Danych nie są ujawniane przez urząd, nie jest prowadzony także żaden publiczny rejestr Inspektorów Ochrony Danych.
Obowiązki związane z powołaniem IOD
O danych kontaktowych powołanego w organizacji Inspektora należy informować w tzw. obowiązkach informacyjnych, przekazywanych osobom, których dane dotyczą zgodnie z art. 13 i art. 14 RODO. Dane kontaktowe Inspektora Ochrony Danych – po jego wyznaczeniu – należy także opublikować. Zgodnie z art. 11 UODO, podmiot, który wyznaczył IOD, udostępnia określone dane kontaktowe na swojej stronie internetowej, niezwłocznie, po jego wyznaczeniu, a jeśli takiej nie prowadzi – publikuje je w sposób ogólnie dostępny w miejscu prowadzenia działalności. Może się to odbyć np. poprzez wywieszenie informacji na ogólnodostępnej tablicy ogłoszeń.
Administrator lub podmiot przetwarzający zobowiązani są do zapewniania, aby IOD niezwłocznie włączany był we wszystkie procesy związane z przetwarzaniem danych osobowych. Zobowiązani są także wspierać IOD w wykonywaniu przez niego zadań, zapewniać mu wszelkie niezbędne zasoby oraz informacje do ich wykonania, jak i zapewniać dostęp do samych danych osobowych i operacji na nich wykonywanych.
27 pytań o …
30 marca 2022 r. na stronie Urzędu Ochrony Danych Osobowych pojawiła się lista zagadnień, mająca na celu weryfikację przestrzegania przepisów RODO dot. powoływania inspektorów ochrony danych osobowych. Organ zaznaczył przy tym, iż podczas przeprowadzania kontroli w organizacjach weryfikuje czy organizacja prawidłowo określiła obowiązek powołania IOD (bądź jego brak), czy podmiot prawidłowo zgłosił IOD do organu, czy informacje dot. IOD opublikowane są na stronie internetowej administratora bądź procesora, czy podmiot powołujący IOD włączył IOD i umożliwił mu zajęcie się wszystkimi dokonywanymi w podmiocie procesami przetwarzania danych osobowych, jak i czy pełnienie przez daną osobę funkcji IOD i wykonywanie przez nią innych obowiązków nie powoduje konfliktu interesów. Na bazie ww. doświadczeń kontrolnych organ nadzorczy wypracował listę 27 pytań, które zostały i zapewne będą dalej kierowane do administratorów i podmiotów przetwarzających. Warto przy tym już teraz skorzystać z opublikowanej listy zagadnień i przeprowadzić na jej podstawie ocenę konieczności powołania IOD w swojej organizacji i prawidłowego wywiązania się z obowiązków z tym związanych.
Powołanie osoby wyznaczonej do obsługi spraw z zakresu ochrony danych osobowych
Jeżeli organizacja nie jest zobowiązana do powołania IOD, ani też nie podjęto decyzji o dobrowolnym powołaniu Inspektora, w naszej ocenie zdecydowanie warto rozważyć wyznaczenie dedykowanej osoby, wspierającej organizację w kwestiach związanych z ochroną danych osobowych, w tym przestrzegania zgodności z przepisami dot. ochrony danych osobowych. Takie posunięcie ułatwia bowiem administratorom zarządzanie danymi przetwarzanymi w ramach ich organizacji na różnych szczeblach. W przypadku powołania takiej osoby nie ma potrzeby zawiadamiania o jej wyznaczeniu organu nadzorczego.
W przypadku, gdyby potrzebowali Państwo wsparcia w określeniu, czy w Państwa organizacji niezbędne jest powołanie IOD, w zgłoszeniu IOD do organu, bądź też pomocy w ustaleniu czy organizacja stanowiska IOD spełnia wszelkie wymogi prawne – nasi eksperci pozostają do Państwa dyspozycji.
[1] Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 z dnia 27 kwietnia 2016 r.,
[2] Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. 2019, poz. 1781).
