Kto musi zgłosić inspektora ochrony danych osobowych i kiedy jest to obowiązkowe?

Kto musi zgłosić inspektora ochrony danych osobowych i kiedy jest to obowiązkowe? Administratorzy danych oraz podmioty przetwarzające muszą wyznaczyć oraz zgłosić inspektora ochrony danych osobowych (IOD) w określonych przypadkach. Obowiązek ten wynika z art. 37 RODO i wiąże się z wysokimi sankcjami za niedopełnienie formalności. Poniższy artykuł szczegółowo wyjaśnia kiedy powołanie i zgłoszenie IOD jest obligatoryjne, jakie są konsekwencje niespełnienia obowiązku oraz jakie czynności należy podjąć w celu prawidłowego zgłoszenia inspektora ochrony danych osobowych.

Obowiązek wyznaczenia inspektora ochrony danych osobowych

Wyznaczenie IOD jest obowiązkowe w trzech jasno określonych przypadkach. Dotyczy przede wszystkim organów oraz podmiotów publicznych, które muszą zawsze powołać inspektora ochrony danych bez względu na zakres przetwarzanych danych. Ponadto obowiązek ten pojawia się, jeśli główna działalność administratora lub podmiotu przetwarzającego polega na regularnym i systematycznym monitorowaniu osób na dużą skalę. Kolejną sytuacją obligującą do wyznaczenia IOD jest przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i naruszeń prawa. Wszelkie te przypadki wymieniono wprost w art. 37 RODO.

Poza przedstawionymi obligatoryjnymi przypadkami wyznaczenie IOD jest dobrowolne, lecz wielu administratorów danych rekomenduje wewnętrzną analizę ryzyka i zasadności powołania takiej osoby. Inspektor, bez względu na formę zatrudnienia, musi posiadać odpowiednią wiedzę i kwalifikacje do realizacji powierzonych obowiązków, a także działać bez konfliktu interesów.

Proces powołania i zgłoszenia inspektora ochrony danych

Podstawową czynnością po podjęciu decyzji o powołaniu inspektora ochrony danych jest przeprowadzenie dokładnej oceny obowiązku na podstawie przesłanek wskazanych w RODO. Administrator może powołać wybraną osobę spośród pracowników lub też skorzystać z usług podmiotu zewnętrznego wyspecjalizowanego w ochronie danych osobowych. Kluczowym momentem jest formalne wyznaczenie IOD, które wymaga przygotowania stosownej dokumentacji potwierdzającej powierzenie zadań.

Po ustanowieniu inspektora administrator lub podmiot przetwarzający jest zobowiązany zgłosić ten fakt do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Zgłoszenie musi obejmować wszystkie wymagane dane identyfikujące administratora (nazwa, adres, REGON), dane inspektora (imię, nazwisko, e-mail lub telefon), a także datę wyznaczenia i określenie formy pełnienia funkcji. Zgłoszenie może zostać zrealizowane wyłącznie w formie elektronicznej, poprzez ePUAP, portal biznes.gov.pl lub dedykowany formularz UODO. Niedopełnienie obowiązku zgłoszenia lub nieterminowe dopełnienie formalności grozi poważnymi karami finansowymi.

Terminy i sankcje za brak zgłoszenia IOD

Najważniejszym terminem jest okres 14 dni od daty wyznaczenia IOD. W tym czasie zgłoszenie musi trafić do UODO. Dla administratorów pełniących dotychczas funkcję ABI, istotny był termin 1 września 2018 roku na dokonanie zgłoszenia kontynuacji obowiązków w nowej roli IOD.

Niedopełnienie obowiązku wyznaczenia lub zgłoszenia inspektora we wskazanym terminie może skutkować nałożeniem administracyjnej kary pieniężnej do 10 milionów euro lub – w niektórych przypadkach – do 2% całkowitego rocznego obrotu. Tak wysokie sankcje mają na celu wymuszenie rzetelnego podejścia do kwestii ochrony danych osobowych przez wszystkich zobowiązanych do tego podmiotów.

Zadania i rola inspektora ochrony danych

Inspektor ochrony danych pełni kluczową rolę w utrzymaniu zgodności z RODO. Do podstawowych zadań IOD należy opiniowanie oraz informowanie administratora, personelu i podmiotów współpracujących o obowiązkach wynikających z przepisów dotyczących ochrony danych osobowych. Inspektor monitoruje przestrzeganie przepisów RODO, udziela doradztwa w przypadkach wątpliwości oraz wspiera realizację ocen skutków dla ochrony danych DPIA.

W zakresie obowiązków znajduje się również kontakt z UODO oraz obsługa osób, których dane dotyczą, podczas realizacji przez nich praw wynikających z RODO. Inspektor, mimo pełnienia nadzorczej funkcji, nie przejmuje odpowiedzialności za ewentualne naruszenia – ta spoczywa niezmiennie na administratorze danych.

Formalności po wyznaczeniu IOD i aktualizacje danych

Po zgłoszeniu inspektora ochrony danych osobowych administrator ma obowiązek upublicznić dane kontaktowe IOD. Publikacja najczęściej realizowana jest na stronie internetowej danej organizacji, tablicach ogłoszeń czy w stopkach służbowych e-maili. Zapewnienie powszechnego dostępu do kontaktu z inspektorem umożliwia zarówno organowi nadzorczemu jak i osobom, których dane są przetwarzane, szybki kontakt w przypadku naruszeń lub pytań związanych z ochroną danych.

W razie zmiany inspektora lub zmiany jego danych kontaktowych należy niezwłocznie zaktualizować zgłoszenie w UODO, korzystając z analogicznego, elektronicznego trybu. Obowiązek aktualizacyjny dotyczy również odwołania IOD ze wskazaniem osoby nowo powołanej.

Podsumowanie: Kto zgłasza IOD i kiedy jest to obowiązkowe?

Obowiązek zgłoszenia inspektora ochrony danych osobowych dotyczy trzy wyraźnie określone grupy podmiotów: organów i podmiotów publicznych, administratorów lub procesorów dokonujących monitorowania osób na dużą skalę oraz prowadzących przetwarzanie szczególnych kategorii danych na dużą skalę. Zgłoszenie do UODO musi nastąpić niezwłocznie, maksymalnie w ciągu 14 dni od wyznaczenia IOD. Niedopełnienie tych obowiązków grozi wysokimi karami finansowymi.

Wynikające z RODO procedury wymagają zarówno formalnego wyznaczenia kompetentnej osoby, jak i konsekwentnego zgłaszania i aktualizowania jej danych kontaktowych. W każdej organizacji decyzja o powołaniu IOD powinna być poprzedzona analizą zgodności działalności z przesłankami z art. 37 RODO, a działania po wyznaczeniu – zgodne z obowiązującymi procedurami zgłoszeniowymi i informacyjnymi.