Trwa zgłaszanie Inspektorów Ochrony Danych

Zawiadomienie o wyznaczaniu Inspektorów Ochrony Danych zostało rozpoczęte dnia 25 maja 2018 roku. Z tym dniem następuje również zakończenie zgłoszeń dot. powołania i odwołania Administratorów Bezpieczeństwa Informacji.

Nowe obowiązki

Zgodnie z informacją zawartą na stronie GIODO obowiązek wyznaczenia IOD określony został w Rozporządzeniu o Ochronie Danych Osobowych (RODO). W tym samym akcie prawnym został również wskazany obowiązek zawiadamiania Prezesa Urzędu Ochrony Danych Osobowych (dawniej GIODO) o danych kontaktowych Inspektora Ochrony Danych.

Sposób i terminy wykonania

Zgodnie z ustawą o ochronie danych osobowych z dnia 10 maja 2018 roku administrator w terminie 14 dni od wyznaczenia IOD zawiadamia PUODO o wspomnianym wyznaczeniu i wskazuje:

  • imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora;
  • imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;
  • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;
  • pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt. 2 i 3;
  • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

Okres przejściowy

W okresie przejściowym, czyli bezpośrednio po wejściu w życie ustawy zostały wyznaczone specjalne terminy na wypełnienie ww. obowiązku. Są one zależne od tego, czy konkretny podmiot przed 25 maja 2018 roku miał powołanego administratora bezpieczeństwa informacji (ABI). Ważne jest też, czy nowe przepisy nakładają na ABI obowiązek wyznaczenia Inspektora Ochrony Danych. Jeżeli tak, to powiadomienia należy dokonać:

  • do 1 września 2018 r. – gdy administrator wyznaczył ABI przed 25 maja 2018 roku i decyduje, że ta sama osoba będzie pełnić u niego funkcję inspektora ochrony danych;
  • w terminie 14 dni – gdy administrator wyznaczył ABI przed 25 maja 2018 roku, ale do pełnienia funkcji IOD wyznaczył inną osobę;
  • do 31 lipca 2018 r. – gdy administrator nie powołał ABI przed 25 maja 2018 roku.

W sytuacji, kiedy na ABI nie spoczywa obowiązek wyznaczenia IOD, a podjął on decyzję o wyznaczeniu takiej osoby, to powiadomienie powinno być dokonane:

  • do 1 września 2018 r. – gdy administrator wyznaczył ABI przed 25 maja 2018 roku i decyduje, że ta sama osoba będzie pełnić u niego funkcję inspektora ochrony danych;
  • w terminie 14 dni od dnia wyznaczenia inspektora ochrony danych – gdy administrator wyznaczył ABI przed 25 maja 2018 roku, ale do pełnienia funkcji IOD wyznaczył inną osobę;
  • w terminie 14 dni od dnia wyznaczenia inspektora ochrony danych – gdy administrator nie wyznaczył ABI przed 25 maja 2018 roku, ale decyduje się na wyznaczenie inspektora ochrony danych.

W przypadku podmiotów, które przetwarzają zgodnie z nowymi przepisami:

  • będą miały obowiązek wyznaczenia IOD, powiadomienie powinno nastąpić do 31 lipca 2018 roku;
  • nie będą miały obowiązku wyznaczenia IOD, a zdecydują się na powołanie takiej osoby. Powiadomienie powinno nastąpić w terminie 14 dni od dnia wyznaczenia.

Po upływie okresu przejściowego

Gdy upłynie okres przejściowy zasadą w zakresie terminu na powiadomieniu o wyznaczeniu IOD będzie okres14 dni od dnia wyznaczenia. Termin ten będzie miał zastosowanie m. in. w  przypadkach nowo tworzonych podmiotów, który wyznaczą IOD. Zastosowanie dotyczyć będzie także podmiotów, które w chwili wejścia do stosowania RODO nie mają obowiązku wyznaczenia IOD, ale taki obowiązek powstanie.

Przykładem ww. obowiązku będzie zmiana przedmiotu głównej działalności na działalność polegającą na operacjach przetwarzania. Wymagają one regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Ważne: Zawiadomienia o wyznaczeniu IOD należy dokonywać w postaci elektronicznej. Należy je opatrzyć kwalifikowanym podpisem elektronicznym lub potwierdzonym profilem zaufanym ePUAP. Na stronie internetowej urzędu dostępny jest służący do tego elektroniczny formularz.

Ważne: GIODO nie przyjmuje już zgłoszeń powołania i odwołania ABI.

Ważne: Podmiot, który wyznaczył inspektora, udostępnia jego imię, nazwisko, adres e-mail lub nr telefonu. Czyni to niezwłocznie po wyznaczeniu na swojej stronie internetowej lub w sposób ogólnie dostępny w miejscu prowadzenia działalności.