UODO: konieczność wykazania czy administrator musi wyznaczyć IOD
W związku z pojawiającymi się pytaniami ze strony administratorów czy muszą powołać IOD informujemy, że zgodnie z art. 37 RODO inspektora ochrony danych muszą powołać administratorzy i podmioty przetwarzające gdy:
„a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.”
Wszyscy inni, zgodnie z zasadą rozliczalności, muszą dokonać sprawdzenia czy potrzebują powołać taką osobę w swojej strukturze.
Warto zaznaczyć, że UODO opublikował na swojej stronie internetowej informację, która jednoznacznie wskazuje na obowiązek przeprowadzenia analizy w tym zakresie:
„Jednocześnie informujemy, że to, czy podmioty zobowiązane wywiązały się z ciążących na nich obowiązków wyznaczenia IOD, Prezes UODO będzie weryfikował przy okazji wszelkich swoich kontaktów z administratorami i podmiotami przetwarzającymi. Jeżeli nie wyznaczyły one takiej osoby, to zgodnie z wynikającą z RODO zasadą rozliczalności, będą musiały umieć wykazać, że dokonały analizy w tym zakresie i wskazać przesłanki, na podstawie których przesądziły o tym, że nie są zobowiązane do wyznaczenia IOD”.
Źródło: https://uodo.gov.pl/pl/138/472
Jako specjaliści z zakresu ochrony danych osobowych przygotowaliśmy dla Państwa produkt, który jest niezwykle pomocny w dokonaniu analizy warunków niezbędnych przy powołaniu Inspektora ochrony danych osobowych w podmiotach, które mają obowiązek jego wyznaczenia.
Dokument pozwoli na weryfikację w dwóch wariantach:
1) w sytuacji, gdy w podmiocie był powołany ABI – analiza pozwoli Państwu stwierdzić, czy może on kontynuować wykonywanie zadań IOD,
2) w sytuacji, gdy podmiot nie zdecydował się na powołanie ABI – analiza pozwoli stwierdzić czy w zespole administratora jest osoba, która może pełnić funkcję IOD, bądź czy zasadne jest skorzystanie z usług firmy zewnętrznej.
Dokument zawiera zestaw pytań wraz z opisem, a kolejne odpowiedzi pozwolą na ocenę, czy biorąc pod uwagę specyfikę podmiotu i zakres przetwarzanych danych administrator powinien wyznaczyć IOD, czy też nie ma takiej potrzeby.
W przypadku jakichkolwiek pytań dotyczących dokumentu „Weryfikacja zasadności powołania IOD” zachęcamy do kontaktu z naszymi koordynatorami.