Ogólne rozporządzenie o ochronie danych (RODO) powołało do życia nowego uczestnika obrotu prawnego w postaci inspektora ochrony danych (IOD), który zastąpił administratora bezpieczeństwa informacji (ABI). Nowa ustawa o ochronie danych osobowych ustanawia obowiązek zawiadamiania organu nadzorczego o wyznaczeniu inspektora oraz wprowadza zasady realizacji tego obowiązku.
W pewnych wypadkach administrator danych i podmiot przetwarzający są zobligowani do wyznaczenia inspektora ochrony danych osobowych, o czym szerzej pisaliśmy w osobnym wpisie. Nowa ustawa o ochronie danych osobowych, uchwalona w dniu 10 maja 2018 r. (dalej „u.o.d.o.”), ustanawia obowiązek zawiadamiania organu nadzorczego o wyznaczeniu inspektora oraz wprowadza zasady realizacji tego obowiązku.
Zgodnie z art. 10 ust. 1 u.o.d.o. podmiot, który wyznaczył inspektora ochrony danych, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Prezesa Urzędu Ochrony Danych Osobowych należy informować także o każdej zmianie tych danych, jak również o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania. Co istotne, przedmiotowe zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP (art. 10 ust. 6 u.o.d.o.). Nie ma zatem możliwości zawiadomienia organu nadzorczego o powyższych okolicznościach na piśmie tradycyjną drogą pocztową. Na swej stronie PUODO udostępnił narzędzia i wskazówki ułatwiające zgłaszanie inspektorów, dostępne pod następującym adresem: https://uodo.gov.pl/pl/121/193. Zgłaszanie IOD nie przebiega niestety na tę chwilę (sierpień 2018 r.) bezproblemowo, stąd ze zgłoszeniem IOD nie warto czekać do ostatniej chwili.
Zawiadomienie PUODO to tylko jeden z obowiązków, który podmioty wyznaczające inspektora winny spełnić. Zgodnie bowiem z art. 11 powołanej ustawy podmiot, który wyznaczył inspektora, udostępnia jego dane w postaci imienia, nazwiska oraz adresu poczty elektronicznej lub numeru telefonu niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a w wypadku jej braku w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Warto też zwrócić uwagę na przepisy przejściowe, które przewiduje w/w ustawa, wyznaczając dwa bardzo ważne terminy.
Pierwszy termin to 31 lipca 2018 r., który ma zastosowanie do administratorów (i podmiotów przetwarzających) zobowiązanych do wyznaczenia inspektora ochrony danych na podstawie art. 37 RODO, u których nie powołano administratora bezpieczeństwa informacji. Podmioty te, zgodnie z art. 158 ust. 4 u.o.d.o., są zobligowane w powyższym terminie wyznaczyć IOD oraz zawiadomić o tym Prezesa Urzędu.
Drugi termin to 1 września 2018 r., który odnosi się do administratorów (i podmiotów przetwarzających) posiadających na dzień 24 maja 2018 r. w swoich strukturach osobę pełniącą funkcję ABI. Osoba ta – w myśl art. 158 ust. 1 u.o.d.o. – z dniem 25 maja br. z mocy ustawy stała się inspektorem ochrony danych i tę funkcję może pełnić do dnia 1 września 2018 r., chyba że przed tym dniem administrator (procesor) zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych. Jeżeli organ nadzorczy w powyższym terminie nie zostanie powiadomiony o wyznaczeniu inspektora, osoba pełniąca funkcję IOD utraci ten status z dniem 2 września br. W praktyce więc podmioty posiadające ABI, które są zobowiązane do wyznaczenia IOD, muszą powiadomić organ nadzorczy o jego wyznaczeniu najpóźniej do dnia 1 września 2018 r. (nawet jeśli funkcję IOD ma pełnić dotychczasowy ABI).
Data publikacji: 28.08.2018.