0 0
dni
0 0
godz
0 0
min
0 0
sek

Jak poprawnie udostępnić na stronie internetowej dane IOD?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

RODO przewiduje przypadki, gdy powołanie Inspektora Ochrony Danych jest obowiązkowe – w takim wypadku niezbędne jest opublikowanie danych IOD i zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Kiedy IOD musi być powołany i jakie ma zadania? Jak i kiedy poinformować o jego powołaniu? Jakie sankcje grożą za brak publikacji danych o IOD? Sprawdź w poniższym artykule.

Jakie zadania realizuje IOD?

IOD ma następujące zadania:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
  • współpraca z organem nadzorczym;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Kiedy i jak powołać IOD?

Administrator i podmiot przetwarzający wyznaczają IOD, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

Grupa przedsiębiorstw może wyznaczyć 1 IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

IOD to podmiot, który powinien mieć wiedzę i być włączanym we wszystkie sprawy dotyczące ochrony danych osobowych w danej organizacji.

Administrator oraz podmiot przetwarzający mają obowiązek wspierać IOD w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

IOD powinien być niezależny. Administrator oraz podmiot przetwarzający zapewniają, by nie otrzymywał on instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora lub podmiot przetwarzający za wypełnianie swoich zadań. IOD bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO.

IOD może być członkiem personelu administratora lub podmiotu przetwarzającego bądź wykonywać zadania na podstawie umowy o świadczenie usług. Może on wykonywać także inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by nie powodowały one konfliktu interesów.

Publikacja danych o IOD i zawiadomienie o jego powołaniu

Administrator lub podmiot przetwarzający mają obowiązek opublikować dane kontaktowe IOD i zawiadomić o nich organ nadzorczy.

Podmiot, który wyznaczył inspektora, zawiadamia PUODO o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

Zawiadomienia sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Zawiadomienie może zostać dokonane przez pełnomocnika. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.

W zawiadomieniu wskazuje się:

  • imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;
  • firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;
  • pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazane powyżej;
  • numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

Podmiot, który wyznaczył inspektora, zawiadamia PUODO o każdej zmianie powyższych danych oraz o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

W przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje osobnego zawiadomienia.

Podmiot, który wyznaczył inspektora, udostępnia jego dane niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Podmiot, który wyznaczył inspektora, może także wyznaczyć osobę zastępującą inspektora w czasie jego nieobecności. W związku z wykonywaniem obowiązków inspektora w czasie jego nieobecności do osoby go zastępującej stosuje się odpowiednio zasady dotyczące inspektora. O zastępcy IOD również należy powiadomić PUODO i opublikować jego dane.

Kierując się Wytycznymi dotyczącymi inspektorów ochrony danych wydanymi przez Grupę Roboczą art. 29, które zachowują aktualność w obecnym stanie prawnym, trzeba przyjąć, że upublicznieniu podlegają dane kontaktowe IOD umożliwiające łatwe nawiązanie kontaktu z IOD przez osoby, których dane dotyczą. Grupa Robocza nie uznawała za niezbędne publikowania w tym trybie imienia i nazwiska IOD.

Warto również pamiętać, że dane kontaktowe IOD powinny się znaleźć w klauzuli informacyjnej.

Dane IOD a sankcja za brak publikacji

Naruszenie art. 37 RODO podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Od czego będzie zależeć wysokość kary? Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

  • charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  • umyślny lub nieumyślny charakter naruszenia;
  • działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  • stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem – wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  • stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  • kategorie danych osobowych, których dotyczyło naruszenie;
  • sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  • jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki – przestrzeganie tych środków;
  • stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji;
  • wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowej bądź unikniętej straty.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów