W związku z wejściem w życie RODO, organy i podmioty publiczne oraz firmy, na których spoczywa obowiązek wyznaczenia Inspektora Danych Osobowych, muszą przystąpić do procedury zgłoszenia IOD do PUODO. W związku z licznymi zapytaniami od naszych Klientów, postanowiliśmy stworzyć poradnik, w którym wyjaśniamy najważniejsze aspekty związane z nowym obowiązkiem.
Procedura zgłaszania IOD do PUODO – najważniejsze informacje
Procedura zgłoszenia Inspektora Ochrony Danych (IOD) jest regulowana w obowiązującej ustawie o ochronie danych osobowych i odbywa się za pomocą wyznaczonego przez PUODO formularza.
Od momentu powołania IOD, przedsiębiorstwa mają 14 dni, aby przesłać (drogą elektroniczną) do Prezesa Urzędu Ochrony Danych Osobowych wypełniony formularz. Zawiadomienia, które są niezbędne do realizacji założeń RODO, znajdują się na stronie PUODO w czterech wersjach. W zależności od tego, czy przedsiębiorstwo dopiero powołało IOD lub zmienia jego dane kontaktowe, informacja o tym musi zostać przekazana do Prezesa UODO w terminie nieprzekraczającym dwóch tygodni:
Zawiadomienia przewidziane przez PUODO:
- zawiadomienie o wyznaczeniu nowego IOD;
- zawiadomienie o zmianie danych kontaktowych obecnego IOD;
- zawiadomienie o odwołaniu dotychczasowego IOD;
- zawiadomienie o odwołaniu dotychczasowego IOD i wyznaczeniu nowego.
Należy również pamiętać, że w przypadku procedury zgłaszania IOD do PUODO, organy i podmioty publiczne oraz firmy, które przetwarzają dane osobowe, są zobowiązane do zachowania okresów przejściowych, czyli daty granicznej na wyznaczenie Inspektora Danych Osobowych i powiadomieniu o tym Prezesa Urzędu Ochrony Danych Osobowych:
- do 1 września 2018 roku – dotyczy podmiotów, które 25 maja 2018 roku zdecydowały, że osoba, która dotychczas pełniła funkcję ABI, zostanie powołana na stanowisko Inspektora Danych Osobowych;
- do 31 lipca 2018 roku – ten termin obowiązywał administratorów oraz podmiotów przetwarzających, którzy przed 25 maja 2018 r. nie powołały ABI, a są zobowiązane do wyznaczenia Inspektora Ochrony Danych na podstawie art. 37 ust. 1 RODO.
Wraz z wejściem w życie znowelizowanej ustawy, dotychczasowi Administratorzy Bezpieczeństwa Danych, w świetle rozporządzenia pełnić będą – do 1 września 2018 roku – funkcję Inspektora Ochrony Danych. Brak zawiadomienia o powołaniu dotychczasowego ABI na IOD, będzie skutkowało wygaśnięciem jego statusu wraz z dniem 2.09.2018 r.
Zgłoszenie elektroniczne oraz pełnomocnictwo
Zgłoszenie wyznaczonego Inspektora Danych Osobowych odbywa się za pośrednictwem drogi elektronicznej oraz musi być podpisane przez osobę mającą prawo do reprezentowania danego podmiotu, czyli np. pełnomocnika.
Wypełniony i podpisany formularz, oprócz niezbędnych informacji dotyczących powołanego IOD i kompletnych danych przedsiębiorstwa, powinien zawierać dane kontaktowe do pełnomocnika wraz z dowodem uiszczenia należnej opłaty skarbowej wynikającej z tego tytułu.
Opłata skarbowa pobierana jest wyłącznie w przypadku powołania pełnomocnika do złożenia zawiadomienia o wyznaczeniu, odwołaniu lub zmianie danych kontaktowych Inspektora Danych Osobowych i wynosi 17 złotych.
Kto jest zobowiązany do wyznaczenia IOD?
Obowiązek wyznaczenia IOD dotyczy organów i podmiotów publicznych (jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski) oraz firmy, które:
- przetwarzają dane osobowe z wyłączeniem sądów w zakresie sprawowania wymiaru sprawiedliwości;
- główną działalność opierają m.in. na przetwarzaniu danych osobowych i systematycznym monitorowaniu na dużą skalę osób, które te dane dotyczą;
- przetwarzają na dużą skalę szczególną kategorię danych (np. pochodzenie rasowe, poglądy polityczne, orientację seksualną) oraz dotyczących wyroków skazujących i naruszeń prawa.
W pozostałych przypadkach wyznaczenie Inspektora Danych Osobowych oraz przystąpienie do procedury zgłoszenia IOD do PUODO jest opcjonalne, jednak zaleca się przeprowadzenie wewnętrznych czynności ustalających przesłanki wskazujące na brak obowiązku powołania IOD.