bg
Chcę wiedzieć o...
Strona główna
Dane osobowe
Prezes UODO podpowiada: Kiedy mamy obowiązek wyznaczyć inspektora ochrony danych?

Prezes UODO podpowiada: Kiedy mamy obowiązek wyznaczyć inspektora ochrony danych?

Dodano: 2023-10-05
Kategorie:

Choć RODO obowiązuje od 2018 roku, to do tej pory powracają pytania o to, kto i w jakich okolicznościach wyznacza inspektora ochrony danych osobowych (IOD). Głównym zadaniem IOD jest monitorowanie przestrzegania obowiązujących przepisów oraz polityk w zakresie ochrony danych. W ostatnich latach znacząco wzrosła liczba państw, w tym także tych spoza przestrzeni Unii Europejskiej, które w swoim ustawodawstwie przewidziały obowiązek lub możliwość wyznaczenia IOD. W praktyce inspektor jest podmiotem wyspecjalizowanym w zakresie danych osobowych, działającym w strukturach administratora (nie musi być jego pracownikiem).

Obowiązek wyznaczenia IOD spoczywa na administratorze danych i podmiocie przetwarzającym (czyli podmiocie, który przetwarza dane osobowe na zlecenie administratora np. w przypadku szpitali, w związku ze świadczeniem dla nich usług specjalistycznych, podmiotem przetwarzającym będzie podmiot przechowujący dokumentację medyczną lub serwisujący sprzęt diagnostyczny).

Wyznaczenie IOD jest obowiązkowe w 3 następujących przypadkach:

  1. Gdy przetwarzania dokonują organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości – mowa tu o jednostkach sektora finansów publicznych, instytutach badawczych, NBP
  2. Gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – np. przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej
  3. Gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – obowiązek będzie miał w tym przypadku m.in. szpital. Warto dodać, że przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną) nie mieści się w definicji „dużej skali”.

Artykuły powiązane

ZUS odzyskał ponad 150 mln zł dzięki kontrolom zwolnień lekarskich w pierwszej połowie 2025 roku

W pierwszych sześciu miesiącach 2025 roku Zakład Ubezpieczeń Społecznych zdołał odzyskać aż 150,5 mln zł poprzez dokładn...

VAT w odszkodowaniu z OC – decyzja Sądu Najwyższego przesunięta na wrzesień

Sąd Najwyższy odroczył do 24 września 2025 roku podjęcie uchwały, która miała rozstrzygnąć, czy podatek VAT powinien być...

Zastrzeżony PESEL a ubezpieczenie OC – koniec z polisami na cudze dane

Od 27 listopada 2025 roku w życie wejdą przepisy, które umożliwią ubezpieczycielom sprawdzanie, czy numer PESEL osoby ub...