ALERT PRO HR: Pozostał tydzień na wyznaczenie Inspektora Ochrony Danych

2018.07.25

31 lipca 2018 r. mija termin na wyznaczenie Inspektora Ochrony Danych (IOD) dla tych podmiotów, które są do tego zobowiązane na podstawie RODO. Jest już zatem ostatni moment na dokonanie analizy czy obowiązek wyznaczenia IOD Państwa dotyczy  oraz ewentualne wyznaczenie właściwej osoby. W przypadku wyznaczenia IOD należy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych (PUODO) o tym fakcie w terminie 14 dni od wyznaczenia.

Do 1 września 2018 r.:

  • funkcję IOD pełnią osoby, które w dniu 24 maja 2018 r. pełniły funkcję administratora bezpieczeństwa informacji (ABI) i z mocy prawa stały się IOD począwszy od 25 maja 2018 r.,
  • podmioty, które nie są objęte obowiązkiem wyznaczenia IOD mogą odwołać IOD, który pełni swoją funkcję z mocy prawa bez konieczności zawiadamiania PUODO,
  • należy zawiadomić PUODO o ponownym wyznaczeniu tej samej osoby na IOD wówczas, gdy chcieliby Państwo aby nadal pełniła swoją funkcję na zasadach ciągłości. 

Podmioty, które są obowiązane do wyznaczenia IOD w przypadku odwołania IOD i wyznaczenia innej osoby są obowiązane do zawiadomienia o tym PUODO w trybie określonym w obowiązującej od 25 maja 2018 r. „nowej” ustawie o ochronie danych osobowych.

Uwaga!

RODO dopuszcza, by IOD poza swoją funkcją wykonywał także inne zadania i obowiązki. W żadnym wypadku nie mogą one jednak powodować konfliktu interesów. IOD nie może być odpowiedzialny za określanie sposobów przetwarzania danych, które następnie miałby kontrolować. W przypadku wewnętrznych IOD zatrudnionych w niepełnym wymiarze, albo w przypadku podmiotów zewnętrznych łączących obowiązki IOD z innymi zadaniami lub pełniących tę funkcję dla kilku podmiotów należy zadbać o przeznaczanie przez IOD wystarczającej ilości czasu na wypełnianie jego obowiązków na rzecz administratora. Warto zadbać o stosowne postanowienia umowy w tym przedmiocie, ale również o właściwy podział obowiązków w praktyce. 

Brak wyznaczenia IOD, pomimo istnienia takiego obowiązku może wiązać się z dotkliwymi sankcjami administracyjnymi: niepieniężnymi (włączając nawet całkowity zakaz dokonywania czynności przetwarzania danych) oraz pieniężnymi (do 10 000 000 EURO lub do 2% rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała kwota wyższa). 

Nawet jeżeli nie mają Państwo obowiązku wyznaczenia IOD, warto rozważyć jego dobrowolne powołanie. W tym przypadku nie jesteście jednak Państwo związani jakimkolwiek terminem, a co za tym idzie zasadnym jest wnikliwa analiza wszystkich „za” i „przeciw”, tak aby wybrać rozwiązanie korzystniejsze dla organizacji.    

KONTAKT

dr r. pr. Dominika Dörre-Kolasa

dominika.dorre-kolasa@raczkowski.eu