Menu

IOD zamiast ABI jak powiadomić Prezesa Urzędu

7 sierpnia 2018 - Aktualności
IOD zamiast ABI  jak powiadomić Prezesa Urzędu

Administrator bezpieczeństwa informacji (ABI) został „zastąpiony” 25 maja tego roku przez inspektora ochrony danych (IOD). RODO zmieniło nie tylko nazwę tej funkcji, ale także wymagania wobec osoby, która miałaby ją pełnić w organizacji oraz rozszerzyła zakres jej obowiązków. Wyznaczenie IOD jest obowiązkowe w określonych sytuacjach wskazanych w europejskim rozporządzeniu. Jeżeli organizacja zobowiązana jest do wyznaczenia IOD, to w Polsce musi powiadomić Prezesa Urzędu do 31 lipca br.!


Wyjaśniamy, co warto wiedzieć o tej ewolucji oraz jak ją przeprowadzić w firmie we właściwy sposób.

Powołanie i zadania inspektora

Obowiązek wyznaczenia IOD określony został w art. 37 ust. 1 RODO. IOD ma być wyznaczany na podstawie kwalifikacji, wiedzy oraz doświadczenia. Funkcję tę będzie mogła pełnić osoba będąca pracownikiem administratora, jak również zewnętrzny podmiot wykonujący zadania na podstawie umowy o świadczenie usług, jednakże IOD zawsze musi być osoba fizyczna.

Warto zwrócić uwagę, że w przeciwieństwie do aktualnie obowiązujących regulacji, dotychczas działający ABI powoływany był zawsze fakultatywnie w organizacjach, które przetwarzały dane osobowe. Na gruncie obecnych przepisów wyznaczanie IOD w ściśle określonych sytuacjach jest obligatoryjne i to dla administratorów danych, jak i procesorów, czyli podmiotów, które przetwarzają dane w imieniu tego administratora. Może to stanowić dużą zmianę w kontekście rozwiązań kadrowych w organizacjach.

Podmiot powołujący IOD zobowiązany jest do włączania go we wszystkie bieżące sprawy dotyczące bezpieczeństwa danych jednostki. Na mocy RODO inspektor stał się również punktem kontaktowym dla osób, których dane osobowe dana firma przetwarza, a także dla samego organu nadzorczego.

Należy zaznaczyć jednak, że sam wybór osoby sprawującej tę funkcję nie jest jedynym obowiązkiem spoczywającym na organizacjach spełniających warunki przewidziane przez przytoczone wyżej przepisy.

Ważne
Zgodnie z art. 11 nowej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., podmiot wyznaczający IOD zobligowany jest do udostępnienia na swojej stronie internetowej lub gdy nie ma strony www w sposób ogólnie dostępny w miejscu prowadzenia działalności imienia i nazwiska inspektora oraz adres e-mail lub numeru telefonu do niego, czyli danych umożliwiających bezpośredni i optymalny z nim kontakt.

Należy podkreślić, że przytoczony obowiązek powinien zostać zrealizowany niezwłocznie po wyznaczeniu IOD przez daną organizację.

Z powołaniem IOD nierozerwalnie wiąże się nadto konieczność zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych, czyli nowy organ nadzorczy, o szczegółach dotyczących nowo powołanego inspektora ochrony danych.

Jak zgłosić inspektora

Administrator w terminie 14 dni od wyznaczenia inspektora powinien zawiadomić Prezesa Urzędu Ochrony Danych Osobowych o tym fakcie. Wynika to wprost z art. 10 ust. 1 nowej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. W zawiadomieniu powinien uwzględnić określone elementy, którymi są:

Utrudnieniem dla podmiotów obowiązanych do spełnienia wskazanej powinności jest przewidziany przez nową Ustawę elektroniczny system przekazywania PUODO obligatoryjnych danych. Jest to jedyna dopuszczalna droga, co równocześnie oznacza brak możliwości dokonania zgłoszenia drogą tradycyjną. Serwisem rządowym, poprzez który dokonujemy bezpłatnego zawiadomienia skierowanego do Prezesa Urzędu Ochrony Danych osobowych jest Serwis informacyjno-usługowy dla przedsiębiorcy biznes.gov.pl.

Ważne
Zawiadomienie o wyznaczeniu inspektora ochrony danych dokonuje się z wykorzystaniem formularza. Poza wskazanymi przez nową ustawę o ochronie danych osobowych danymi kontaktowymi IOD, wymagane jest szczegółowe oznaczenie administratora danych oraz podanie osób go reprezentujących.

Żeby jednak skutecznie przesłać uzupełnione zawiadomienie, należy opatrzyć je kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Po wysłaniu zawiadomienia, zgłaszający otrzymuje urzędowe poświadczenie jego przedłożenia.

Osobą bezpośrednio składającą zawiadomienie co do zasady będzie przedsiębiorca, prowadzący jednoosobową działalność gospodarczą bądź przedstawiciel danego podmiotu upoważniony do występowania w jego imieniu zgodnie z zasadami reprezentacji. Tym niemniej, podobnie jak przy dokonywaniu innych czynności faktycznych czy prawnych, możliwe jest udzielenie osobie trzeciej pełnomocnictwa w tym zakresie. Jeśli zdecydujemy się na ustanowienie pełnomocnika, przy przekazywaniu do PUODO informacji o powołanym przez nas IOD, musimy wówczas pamiętać o dołączeniu pełnomocnictwa, a wraz z nim dowodu uiszczenia opłaty skarbowej za pełnomocnictwo w wysokości 17 zł.

Do kiedy zgłosić inspektora

31 lipca 2018 r. to ważna data dla wszystkich podmiotów, które w świetle nowych przepisów zobowiązane są do powołania IOD. Wszystkie z nich, które w przed 25 maja 2018 roku nie zdecydowały się na wskazanie ABI, mają na to czas do ostatniego dnia lipca 2018 r. (art. 158 ust. 4 nowej ustawy o ochronie danych osobowych). Taki sam termin graniczny wyznaczony został na zawiadomienie Prezesa Urzędu o powołaniu inspektora. Co znamienne, to samo dotyczy procesorów tj. podmiotów przetwarzających dane na rzecz administratora danych, które na gruncie nowych przepisów również zobowiązane są do powołania IOD (art. 158 ust. 5 ustawy o ochronie danych osobowych z 10 maja 2018 r.).

Nieco inaczej wygląda sytuacja osób, sprawujących funkcję ABI przed wejściem w życie RODO.

Uwaga
Osoby pełniące 24 maja 2018 r. funkcję ABI, z dniem 25 maja 2018 r. z mocy prawa stają się IOD i będą odgrywać tę rolę do 1 września 2018 r., do którego to dnia obligatoryjne będzie zgłoszenie takiej osoby do PUODO.

Co istotne, w przypadku braku poinformowania Prezesa Urzędu Ochrony Danych Osobowych o danych powstałego w powyższy sposób IOD do 1 września 2018 r., jego status automatycznie wygaśnie. To z kolei może narazić administratora na dotkliwe sankcje przewidziane w związku z niepowołaniem IOD przez nowe przepisy w sytuacjach obligatoryjnych. Niemniej wskazać należy, że IOD, który przed 25 maja 2018 r. był ABI w okresie przejściowym do 1 września 2018 r. może zostać przez administratora odwołany. Wówczas, zgodnie z powyższym, administrator zobowiązany jest do zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o mianowaniu na IOD innej osoby jeżeli chce bądź musi wyznaczyć IOD, w przywoływany sposób, określony w art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Zmiany również istotne

Dla podmiotów wyznaczających inspektora istotne jest ponadto, że dokonanie zgłoszenia danych IOD nie wyczerpuje innych powinności leżących w ich gestii w tej materii. Obligatoryjne jest również zawiadomienie PUODO o każdej zmianie danych inspektora, podanych w przedłożonym uprzednio zgłoszeniu, jak również o odwołaniu inspektora – w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

Podsumowanie

Nowa pozycja inspektora ochrony danych bez wątpienia odegra znaczną rolę w prawidłowym funkcjonowaniu systemu ochrony danych osobowych niezliczonej liczby organizacji. Dlatego też musimy pamiętać, że wybór osoby sprawującej tę funkcję powinien być szczególnie przemyślany, a zgłoszenia jej danych Prezesowi Urzędu Ochrony Danych powinniśmy dokonać zgodnie z nowymi przepisami oraz w przewidzianych przez nie terminach.

źródło odo24.pl