Termin na wyznaczenie inspektora ochrony danych
Jedną z najważniejszych zmian, jakie od 25 maja 2018 r. przewidują nowe przepisy o ochronie danych osobowych, jest przejście od dotychczasowego modelu dobrowolnego wyznaczania ABI do systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych.
Wobec tego każdy podmiot - niezależnie od tego, czy skorzystał wcześniej z możliwości powołania ABI, czy nie – powinien dokonać analizy, czy w świetle RODO spoczywa na nim taki obowiązek.
Okres przejściowy
Osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji w rozumieniu przepisów dotychczasowej ustawy o ochronie danych osobowych, staje się 25 maja 2018 r. inspektorem ochrony danych i pełni swoją funkcję do 1 września 2018 r., chyba że:
- zostanie odwołana przed 1 września 2018 r.;
- przed tym dniem (1 września 2018 r.) administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na inspektora ochrony danych, w sposób określony w art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Po 1 września 2018 r. osoba taka pełni swoją funkcję nadal, pod warunkiem że do 1 września 2018 r. administrator zawiadomi Prezesa Urzędu o jej wyznaczeniu w sposób określony w art. 10 ust. 1 nowej ustawy o ochronie danych osobowych pod adresem.
Powyższy przepis odnosi się do osób, które w dniu 24 maja 2018 r. pełniły funkcję ABI niezależnie od tego, czy zostały wpisane do ogólnokrajowego rejestru ABI prowadzonego do dnia 24 maja 2018 r. przez Generalnego Inspektora Ochrony Danych Osobowych. Rejestr ten od 25 maja 2018 r. przestaje funkcjonować w związku z utratą w tym zakresie mocy obowiązującej przez ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych. Z tym dniem z mocy ustawy ulegają również umorzeniu postępowania dotyczące rejestracji administratorów bezpieczeństwa informacji. Decyzje o umorzeniu nie będą wydawane (art. 160 ust. 4 nowej ustawy o ochronie danych osobowych).
Administratorzy Bezpieczeństwa Informacji, m.in. ci zarejestrowani w ogólnokrajowym rejestrze przed 25 maja 2018 r., z mocy prawa stali się więc Inspektorami Ochrony Danych. Takie rozwiązanie uzasadnione jest faktem, że dotychczasowy status i kompetencje administratorów bezpieczeństwa informacji, który obowiązuje od 1 stycznia 2015 r., miał na celu przygotowanie tej grupy osób do wymogów określonych ogólnym rozporządzeniem o ochronie danych, jak również związaną z tym postępującą profesjonalizacją osób pełniących tę funkcję. Administratorzy bezpieczeństwa informacji, którzy spełnili wszystkie obecnie wymagane kryteria, aby pełnić swoją funkcję, mogą zatem dalej ją pełnić, bez konieczności podejmowania w tym zakresie przez administratorów danych dodatkowych formalnych czynności.
Wydłużony termin dla podmiotów zobowiązanych do wyznaczenia inspektora, które przed 25 maja 2018 r. nie powołały ABI
Zarówno administratorzy, jak i podmioty przetwarzające, które przed 25 maja 2018 r. nie powołały ABI, a są zobowiązane do wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 RODO, mają na to czas do 31 lipca 2018 r. (art. 158 ust. 4 i 5 nowej ustawy o ochronie danych osobowych). Taki sam termin mają one na zawiadomienie Prezesa Urzędu o wyznaczeniu inspektora.
Zawiadomienie o wyznaczeniu nowego Inspektora Ochrony Danych (IOD)
Przetwarzasz dane osobowe? Zajmujesz się monitoringiem osób i mienia? A może w twojej firmie jest powołany Administrator Bezpieczeństwa Informacji (ABI)? W każdym z tych przypadków musisz wyznaczyć Inspektora Danych Osobowych. Jak to zrobić, przeczytaj niżej.
Zawiadomienie
Zawiadomienie należy złożyć elektronicznie. Wniosek taki podpisz kwalifikowanym podpisem elektronicznym lub Profilem Zaufanym.
Pobierz:
- Zawiadomienie o wyznaczeniu nowego Inspektora Ochrony Danych (IOD)
- [DOCX] Zawiadomienie o wyznaczeniu nowego Inspektora Ochrony Danych (IOD)
Jeżeli chcesz, aby reprezentował cię pełnomocnik, to pamiętaj o tym, by dołączyć pełnomocnictwo oraz dowód zapłaty opłaty skarbowej za to pełnomocnictwo (17 zł) - obydwa te dokumenty także należy złożyć w postaci elektronicznej. Nie zapłacisz za pełnomocnictwo udzielone mężowi, żonie, dzieciom, rodzicom lub rodzeństwu.
Po wysłaniu drogą elektroniczną zawiadomienia otrzymasz urzędowe poświadczenie przedłożenia.
Sprawę tę załatwisz bezpłatnie.
Kto musi wyznaczyć Inspektora Ochrony Danych (IOD)?
25 maja 2018 r. zaczęły obowiązywać przepisy europejskiego rozporządzenia o ochronie danych osobowych (RODO). Nowe prawo zaostrza kwestie związane z ochroną i przetwarzaniem danych osobowych. RODO nakłada na przedsiębiorców sporo nowych obowiązków. Jednym z nich jest obowiązek wyznaczenia inspektora ochrony danych (IOD).
IOD muszą wyznaczyć:
- przedsiębiorcy przetwarzający dane osobowe lub monitorujący osoby, w tym m.in.:
- firmy świadczące usługi monitoringu;
- banki i firmy ubezpieczeniowe;
- firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki;
- dostawcy usług telefonicznych lub internetowych;
- przedsiębiorcy przetwarzający dane osobowe wrażliwe – np. firmy świadczące usługi medyczne.
Kto może zostać Inspektorem Ochrony Danych?
Inspektorem może zostać osoba, która posiada fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych. Może to być zarówno twój pracownik, jak i podmiot zewnętrzny.
Istnieje możliwość wyznaczenia jednego Inspektora Ochrony Danych dla więcej niż jednej firmy. Jest to możliwe np. wtedy, gdy funkcję IOD zlecasz podmiotowi zewnętrznemu.
Po wyznaczeniu Inspektora Ochrony Danych musisz udostępnić jego dane – na swojej stronie internetowej lub, jeżeli jej nie masz, w inny dostępny sposób, w miejscu, w którym prowadzisz działalność.
Jakie są główne zadania Inspektora Ochrony Danych?
Do głównych zadań IOD należy przede wszystkim:
- informowanie pracowników, którzy przetwarzają dane osobowe o ich obowiązkach i doradzane im w tych sprawach;
- przeprowadzanie szkoleń i audytów pracowników oraz monitorowanie przestrzegania przepisów o ochronie danych;
- współpraca z Prezesem UODO;
- pełnienie funkcji punktu kontaktowego dla UODO.
Co z dotychczasowym administratorem bezpieczeństwa informacji (ABI)?
Jeżeli w twojej firmie funkcjonował administrator bezpieczeństwa informacji (ABI), to 25 maja ta osoba staje się Inspektorem Ochrony Danych i pełni swoją funkcję do 1 września 2018 r.
Jeśli chcesz, aby dotychczasowy ABI był Inspektorem Ochrony Danych także po 1 września, to najpóźniej 31 sierpnia zawiadom Prezesa Urzędu Ochrony Danych Osobowych, że twoim Inspektorem Ochrony Danych został ABI.
Kiedy trzeba przesłać zawiadomienie?
Zawiadomienie należy wysłać w ciągu 14 dni od wyznaczenia IOD.
Okres przejściowy:
- podmioty, które przed 25 maja 2018 r. nie powołały ABI oraz podmioty przetwarzające dane, zobowiązane do wyznaczenia IOD mają czas do 31 lipca 2018 r., aby wyznaczyć IOD oraz powiadomić o tym Prezesa UODO;
- podmioty, które 25 maja 2018 r. zdecydowały, by ich dotychczasowy ABI został Inspektorem Ochrony Danych, mają czas do 1 września 2018 r., aby wyznaczyć IOD oraz powiadomić o tym Prezesa UODO.
W jakim organie załatwić sprawę?
Urząd Ochrony Danych Osobowych
Stawki 2, 00-193 Warszawa
Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.
Podstawa prawna:
- rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
- ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?