UODO: konieczność wykazania czy administrator musi wyznaczyć IOD

5 listopada 2018
UODO: konieczność wykazania czy administrator musi wyznaczyć IOD

W związku z pojawiającymi się pytaniami ze strony administratorów czy muszą powołać IOD informujemy, że zgodnie z art. 37 RODO inspektora ochrony danych muszą powołać administratorzy i podmioty przetwarzające gdy:

„a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”

 

Wszyscy inni, zgodnie z zasadą rozliczalności, muszą dokonać sprawdzenia czy potrzebują powołać taką osobę w swojej strukturze.

Warto zaznaczyć, że UODO opublikował na swojej stronie internetowej informację, która jednoznacznie wskazuje na obowiązek przeprowadzenia analizy w tym zakresie:

„Jednocześnie informujemy, że to, czy podmioty zobowiązane wywiązały się z ciążących na nich obowiązków wyznaczenia IOD, Prezes UODO będzie weryfikował przy okazji wszelkich swoich kontaktów z administratorami i podmiotami przetwarzającymi. Jeżeli nie wyznaczyły one takiej osoby, to zgodnie z wynikającą z RODO zasadą rozliczalności, będą musiały umieć wykazać, że dokonały analizy w tym zakresie i wskazać przesłanki, na podstawie których przesądziły o tym, że nie są zobowiązane do wyznaczenia IOD”.

Źródło: https://uodo.gov.pl/pl/138/472

Jako specjaliści z zakresu ochrony danych osobowych przygotowaliśmy dla Państwa produkt, który jest niezwykle pomocny w dokonaniu analizy warunków niezbędnych przy powołaniu Inspektora ochrony danych osobowych w podmiotach, które mają obowiązek jego wyznaczenia.

Dokument pozwoli na weryfikację w dwóch wariantach:

1)      w sytuacji, gdy w podmiocie był powołany ABI – analiza pozwoli Państwu stwierdzić, czy może on kontynuować wykonywanie zadań IOD,

2)      w sytuacji, gdy podmiot nie zdecydował się na powołanie ABI – analiza pozwoli stwierdzić czy w zespole administratora jest osoba, która może pełnić funkcję IOD, bądź czy zasadne jest skorzystanie z usług firmy zewnętrznej.

 

Dokument zawiera zestaw pytań wraz z opisem, a kolejne odpowiedzi pozwolą na ocenę, czy biorąc pod uwagę specyfikę podmiotu i zakres przetwarzanych danych administrator powinien wyznaczyć IOD, czy też nie ma takiej potrzeby.

 

W przypadku jakichkolwiek pytań dotyczących dokumentu „Weryfikacja zasadności powołania IOD” zachęcamy do kontaktu z naszymi koordynatorami.

 

 

Zobacz więcej aktualności