by Joanna Czajor

Prawo pracy29 listopada 20240 comments

Wyznaczenie inspektora ochrony danych osobowych (IOD) jako obowiązek administratora

Mimo że Ogólne Rozporządzenie o Ochronie Danych (RODO) obowiązuje już od ponad 6 lat, wiele organizacji wciąż nie przeprowadziło oceny, czy konieczne jest wyznaczenie Inspektora Ochrony Danych.

Każdy administrator danych osobowych powinien dokonać takiej analizy, ponieważ zignorowanie tego obowiązku może pociągnąć za sobą poważne konsekwencje prawne i organizacyjne, na co wskazał w wydanej niedawno decyzji Prezes Urzędu Ochrony Danych Osobowych.

Kiedy trzeba obligatoryjnie wyznaczyć inspektora ochrony danych osobowych?

Zgodnie z art. 37 RODO administrator oraz podmiot przetwarzający są zobowiązany do wyznaczenia inspektora ochrony danych osobowych, jeżeli spełniają co najmniej jedną z poniższych przesłanek, mianowicie:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

Organy i podmioty publiczne obejmują m.in. jednostki samorządu terytorialnego, jednostki budżetowe, samodzielne publiczne zakłady opieki zdrowotnej oraz uczelnie publiczne. Należy jednak zaznaczyć, że spółki prawa handlowego, w tym spółki z o.o. lub spółki akcyjne nie będą podlegały pod obowiązek wyznaczenia IOD na podstawie tej przesłanki – dla nich obowiązek wyznaczenia IOD może wynikać z pozostałych przesłanek.

• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego
  i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

W związku z powyższym, celem określenia czy została spełniona ta przesłanka, konieczne jest  przeanalizowanie następujących kwestii:

1. którą działalność administratora można uznać za „główną”,  
2. co należy rozumieć pod podjęciem „przetwarzanie na dużą skalę” oraz  
3. co obejmuje pojęcie „operacji przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób”. 

• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Obowiązek powołania Inspektora Ochrony Danych, wynikający z tej przesłanki, dotyczy przetwarzania na dużą skalę szczególnych kategorii danych osobowych (np. danych dotyczących zdrowia, pochodzenia rasowego) oraz wyroków skazujących i czynów zabronionych, które zazwyczaj są przetwarzane jedynie w szczególnych przypadkach.
Z wytycznych Grupy Roboczej Art. 29 wynika, że spełnienie jednej z tych przesłanek wystarczy, aby obowiązek powołania IOD został nałożony, mimo że użycie „i” w przepisie sugeruje konieczność ich łączenia.

W pozostałych przypadkach wyznaczenie IOD jest fakultatywne. Co więcej zalecanym jesy, saby administratorzy i podmioty przetwarzające udokumentowały wewnętrzną procedurę dotyczącą oceny ustalenia obowiązku bądź jego braku wyznaczenia IOD.

Sposób wyznaczenie inspektora ochrony danych osobowych

Inspektor ochrony danych osobowych może być albo pracownikiem administratora / podmiotu przetwarzającego zatrudnionym na podstawie umowy o pracę albo może wykonywać swoje zadania na podstawie umowy o świadczenie usług.

Prezes UODO zwraca szczególną uwagę na formę wyznaczenia inspektora. Wyznaczenie inspektora bądź to przez akt prawny, bądź przez umowę powinno mieć formę pisemną dla celów dowodowych przed organem nadzorczym. Ponadto administrator powinien w takim akcie szczegółowo określić zakres obowiązków IOD.

Szczególna uwagę należy także zwrócić na obowiązek opublikowania danych kontaktowych IOD m.in. na stronie internetowej administratora oraz obowiązek zawiadomienia organu nadzorczego o danych kontaktowych IOD.

Obowiązki inspektora ochrony danych osobowych

Inspektor Ochrony Danych odpowiada za informowanie administratora i podmiotów przetwarzających o obowiązkach wynikających z przepisów o ochronie danych osobowych oraz monitorowanie ich przestrzegania, w tym poprzez przeprowadzanie szkoleń i audytów. Jego zadaniem jest również udzielanie zaleceń dotyczących skutków ochrony danych i kontrolowanie ich realizacji oraz współpraca z organem nadzorczym.

Kara za brak wyznaczenia IOD oraz brak publikacji jego danych

Warto pamiętać, że niedopełnienie obowiązków związanych z powołaniem IOD może skutkować karą finansową

W decyzji z dnia 18 października 2024 r. (DKN.5131.7.2024) Prezes Urzędu Ochrony Danych Osobowych nałożył na podmiot administracyjną karę pieniężną w wysokości 25 tys. zł za niedopełnienie obowiązku wyznaczenia IOD oraz brak publikacji danych kontaktowych IOD, a także brak zawiadomienia o tych danych organu nadzorczego. Organ zwrócił nie tylko uwagę na sam obowiązek wyznaczenia IOD, ale także na inne obowiązki nierozerwalnie z faktem wyznaczenia IOD powiązane.

Prezes Urzędu Ochrony Danych Osobowych wskazał, że kara pieniężna w wysokości 25 000 zł, nałożona na Administratora, jest adekwatna do okoliczności sprawy i spełnia przesłanki określone w art. 83 ust. 1 rozporządzenia 2016/679. Kara ta została wymierzona w kontekście powagi stwierdzonego naruszenia, mając na uwadze podstawowy cel RODO, jakim jest ochrona praw i wolności osób fizycznych, w tym prawa do ochrony danych osobowych.

Warto wskazać, że zgodnie z art. 83 RODO, maksymalna wysokość kary pieniężnej za takie naruszenie może wynieść do 10 milionów euro lub 2% całkowitego rocznego obrotu przedsiębiorstwa, w zależności od tego, która z tych wartości jest wyższa. W przypadku jednostek sektora finansów publicznych,  górna granica w administracyjnej kary pieniężnej została ograniczona do wysokości 100 000,00 zł.

Jeżeli potrzebują Państwo pomocy przy realizacji obowiązku wyznaczeniu inspektora ochrony danych osobowych bądź mają Państwo wątpliwości, czy taki obowiązek Państwa dotyczy, zachęcamy do kontaktu z naszymi specjalistami.

Joanna Czajor

Email: jczajor@kbzlegal.pl
Telefon: +48 32 202 42 97
LinkedIn