Powołanie inspektora ochrony danych – obowiązki informacyjne

Autor: Agata Kwaśniewska, aplikantka radcowska | Kancelaria CZUBLUN TRĘBICKI

Dodano: 17-05-2021

Jednym z podstawowych obowiązków podmiotu, który powołał inspektora ochrony danych, jest zawiadomienie organu nadzoru, tj. poinformowanie go o fakcie powołania IOD, jak również przekazanie niezbędnych danych IOD. Zgodnie bowiem z art. 37 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: RODO), administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

Treść zawiadomienia regulowana jest ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych, gdzie w art. 10 wskazano, że podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Również termin na dokonanie tego zgłoszenia został uregulowany ustawowo i wynosi 14 dni od dnia wyznaczenia IOD. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Jest to jedyny dopuszczalny prawnie sposób poinformowania Prezesa UODO o wyznaczeniu IOD.

Co do zasady, zawiadomienie kierowane do organu nadzoru podpisuje osoba uprawniona do reprezentowania podmiotu zgłaszającego – czyli np. administratora danych. Możliwe jest jednak także spełnienie tego obowiązku przez pełnomocnika.  Do zawiadomienia dołącza się wtedy pełnomocnictwo udzielone w formie elektronicznej – taka forma jest wymogiem koniecznym. Forma elektroniczna pełnomocnictwa będzie spełniona, jeśli dokument pełnomocnictwa zostanie stworzony np. w formacie doc i opatrzony podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym przez osoby upoważnione do reprezentowania podmiotu, który dokonuje zgłoszenia. W celu uniknięcia wątpliwości na stronie UODO widnieje ostrzeżenie, że dokument podpisany własnoręcznie i zeskanowany nie będzie uznany za prawidłową formę elektroniczną pełnomocnictwa. Skan pełnomocnictwa nieopatrzony podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym przez osoby upoważnione do reprezentowania administratora/podmiotu przetwarzającego nie będzie miał zatem właściwej formy.

Poza obowiązkiem poinformowania Prezesa UODO podmiot, który wyznaczył IOD, jest także zobowiązany do zapewnienia, że dane kontaktowe IOD są łatwo dostępne dla osób, których dane osobowe są przetwarzane. Obejmuje to m.in. konieczność opublikowania na stronie internetowej podmiotu imienia i nazwiska oraz adresu poczty elektronicznej lub numeru telefonu inspektora. Co w praktyce oznacza obowiązek zapewnienia łatwej dostępności tych danych? Może to oznaczać stworzenie w tym celu odrębnej zakładki „Inspektor Ochrony Danych” albo „Kontakt”. Ważne, aby osoba poszukująca informacji o IOD nie była zmuszona do długiego przeszukiwania witryny w celu odnalezienia tych danych. Celem uregulowania tego obowiązku w ustawie jest zapewnienie, że IOD będzie mógł efektywnie pełnić funkcję punktu kontaktowego dla osób, których dane są przetwarzane. RODO przewiduje szereg przypadków, w których osoba, której dane dotyczą, musi mieć możliwość łatwego skontaktowania się z IOD w celu uzyskania niezbędnych informacji (m.in. w razie naruszenia ochrony danych osobowych). Kontakt z inspektorem powinien być łatwy i bezpośredni, bez konieczności pośredniczenia innych przedstawicieli lub jednostek organizacyjnych podmiotu, który wyznaczył IOD.

Podmiotom zobowiązanym do wyznaczenia inspektora ochrony danych rekomendujemy przykładanie szczególnej wagi do dopełniania obowiązku poinformowania Prezesa UODO o wyznaczeniu IOD, a także weryfikację, czy dane kontaktowe IOD są odpowiednio łatwo dostępne dla osób, których dane są przetwarzane.

wstecz