A A+ A++ Czarno-biały Biały-czarny Czarno-żółty Żółto-czarny Domyślne kolory

Ten serwis używa cookies i podobnych technologii, brak zmiany ustawienia przeglądarki oznacza zgodę na to.

Brak zmiany ustawienia przeglądarki oznacza zgodę na to. Więcej »

Zrozumiałem

UODO egzekwuje obowiązek wyznaczenia IOD

UODO egzekwuje obowiązek wyznaczenia IOD fotolia.pl

Brak skutecznego wyznaczenia inspektora ochrony danych (IOD) kosztuje. Przekonał się o tym ostatnio jeden z powiatowych inspektorów nadzoru budowlanego, na którego Prezes UODO nałożył administracyjną karę pieniężną w wysokości 25 tys. zł.

UODO stwierdza uchybienia

W toku postępowania wszczętego przez Prezesa UODO, powiatowy inspektor nadzoru budowlanego (PINB) przedłożył kopię akt osobowych dwóch osób, które w jego ocenie pełniły dotychczas funkcję IOD w inspektoracie. Wśród tych dokumentów znajdowały się:

  • zaświadczenia o ukończeniu szkolenia dla IOD,
  • klauzula informacyjna o przetwarzaniu danych osobowych,
  • upoważnienie do przetwarzania danych osobowych w systemie tradycyjnym i informatycznym,
  • zarządzenie w sprawie wprowadzenia polityki bezpieczeństwa przetwarzania danych osobowych w inspektoracie,
  • zakres czynności pełnienia funkcji IOD na podstawie ustnego polecenia administratora danych osobowych.

Na tej podstawie, Prezes UODO stwierdził, że wymienione w dokumentach sformułowania mogą jedynie pośrednio świadczyć, że funkcję IOD w strukturze administratora sprawują wskazane w nich osoby. Z dokumentów tych nie wynika bowiem wprost, że doszło do skutecznego wyznaczenia tych osób na stanowisko IOD. Sprawowanie funkcji IOD na podstawie ustnego polecenia administratora nie stanowi o skuteczności pełnienia tej funkcji.

Co mówią przepisy?

Obowiązek wyznaczenia IOD wynika wprost z przepisów RODO, a konkretnie z art. 37 ust. 1 lit. a, zgodnie z którym administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Z kolei art. 37 ust. 7 RODO stanowi, że administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.

Oznacza to, że aby wykazać się skutecznością wyznaczenia IOD przed Prezesem UODO, administrator powinien dążyć, by akt prawny (np. zarządzenie wewnętrzne, uchwała, powierzenie obowiązków, umowa) dotycząca osoby mającej sprawować funkcję IOD wskazywał w sposób nie budzący wątpliwości na wyznaczenie do pełnienia tej funkcji konkretnej osoby.

UODO podkreślił również, że dla celów dowodowych istotne jest, aby ww. akt posiadał formę pisemną. Osobie pełniącej funkcję IOD należy precyzyjnie przypisać zakres obowiązków zgodnie z art. 38 i 39 RODO.

Brak wyznaczenia IOD = kara

W prowadzonym postępowaniu Prezes UODO stwierdził brak wyznaczenia IOD, brak publikacji jego danych kontaktowych i brak zawiadomienia o tych danych organu nadzorczego. Skutkowało to nałożeniem na administratora danych osobowych kary pieniężnej w wysokości 25 tys. zł.

UODO wskazał, że skuteczne wyznaczenie i publikacja danych IOD stanowi ważną gwarancję ochrony danych osobowych podmiotów, których dane są przetwarzane. Wynika to z samej roli inspektora i szerokiego wachlarzu zadań, przypisanych mu na gruncie art. 38 i 39 RODO.

Źródło: uodo.gov.pl 

Czw., 21 Lst. 2024 0 Komentarzy Dodane przez: Przemysław Matysiak

Popularne