bg
Chcę wiedzieć o...
Strona główna
Dane osobowe
Prezes UODO podpowiada: Kiedy mamy obowiązek wyznaczyć inspektora ochrony danych?

Prezes UODO podpowiada: Kiedy mamy obowiązek wyznaczyć inspektora ochrony danych?

Dodano: 2023-10-05
Kategorie:

Choć RODO obowiązuje od 2018 roku, to do tej pory powracają pytania o to, kto i w jakich okolicznościach wyznacza inspektora ochrony danych osobowych (IOD). Głównym zadaniem IOD jest monitorowanie przestrzegania obowiązujących przepisów oraz polityk w zakresie ochrony danych. W ostatnich latach znacząco wzrosła liczba państw, w tym także tych spoza przestrzeni Unii Europejskiej, które w swoim ustawodawstwie przewidziały obowiązek lub możliwość wyznaczenia IOD. W praktyce inspektor jest podmiotem wyspecjalizowanym w zakresie danych osobowych, działającym w strukturach administratora (nie musi być jego pracownikiem).

Obowiązek wyznaczenia IOD spoczywa na administratorze danych i podmiocie przetwarzającym (czyli podmiocie, który przetwarza dane osobowe na zlecenie administratora np. w przypadku szpitali, w związku ze świadczeniem dla nich usług specjalistycznych, podmiotem przetwarzającym będzie podmiot przechowujący dokumentację medyczną lub serwisujący sprzęt diagnostyczny).

Wyznaczenie IOD jest obowiązkowe w 3 następujących przypadkach:

  1. Gdy przetwarzania dokonują organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości – mowa tu o jednostkach sektora finansów publicznych, instytutach badawczych, NBP
  2. Gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę – np. przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej
  3. Gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – obowiązek będzie miał w tym przypadku m.in. szpital. Warto dodać, że przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną) nie mieści się w definicji „dużej skali”.

Artykuły powiązane

Spotkanie z Polską Izbą Ubezpieczeń dotyczące projektu rekomendacji w zakresie dystrybucji ubezpieczeń

3 kwietnia 2025 roku w siedzibie Urzędu Komisji Nadzoru Finansowego odbyły się rozmowy z przedstawicielami Polskiej Iz...

Problemy z e-Doręczeniami, a terminy podatkowe

Ministerstwo Finansów wyjaśniło w komunikacie, że o dochowaniu podatkowego terminu w systemie e-Doręczenia decyduje data...

Sąd: Dyscyplinarka za brak badań była nieuzasadniona

Sąd Rejonowy w Człuchowie (wyrok z 20 grudnia 2024 r., sygn. akt IV 471/24) uznał, że pracownica nie naruszyła pods...