Wyznaczenie Inspektora Ochrony Danych

Inspektor ochrony danych osobowych to osoba fizyczna wspierająca administratora danych w realizacji obowiązków dotyczących ochrony danych osobowych.

W niektórych sytuacjach administrator jest zobowiązany do wyznaczenia inspektora ochrony danych (dalej: IOD). Zgodnie z art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; dalej: RODO) obowiązek wyznaczenia IOD zachodzi, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

Inspektor ochrony danych osobowych powinien bezpośrednio podlegać najwyższemu kierownictwu administratora

Jak wynika z art. 38 ust. 3 RODO administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. IOD nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Co za tym idzie inspektor powinien zostać powołany przez najwyższe kierownictwo podmiotu. Urząd Ochrony Danych Osobowych nałożył karę na Toyota Bank w decyzji o sygn. DKN.5112.14.2022 z dnia 18 grudnia 2024 r. za to, że inspektor ochrony danych osobowych podlegał  Dyrektorowi jednego z departamentów. Inspektor ochrony danych był na dzień kontroli zatrudniony w Departamencie (…) C. S.A. jako specjalista ds. (…) i wykonywał polecenia bezpośredniego przełożonego, tj. Dyrektora ww. Departamentu, niebędącego osobą z „najwyższego kierownictwa administratora”, należy stwierdzić, że C. S.A. naruszył art. 38 ust. 3 rozporządzenia 2016/679.” Co za tym idzie, administrator powinien zapewnić niezależność inspektora ochrony danych osobowych. Niedopuszczalna jest sytuacja, gdy inspektor ochrony danych nie podlega bezpośrednio zarządowi organizacji. Inspektor ochrony danych nie może podlegać dyrektorom poszczególnych jednostek.

Inspektor ochrony danych osobowych powinien zostać wyznaczony w formie pisemnej

Zgodnie z art. 37 ust. 1 lit. a) i art. 37 ust. 7 RODO organizacje są zobowiązane do wyznaczenia inspektora ochrony danych, opublikowania jego danych kontaktowych i powiadomienia o tym organu nadzorczego. Administrator powinien przypisać precyzyjnie zakres obowiązków IOD zgodnie z art. 38 i 39 RODO.

Przepisy nie wskazują wprost w jakiej formie powinno nastąpić powołanie. W takiej sytuacji należy odwołać się do wytycznych i decyzji Prezesa Urzędu Ochrony Danych Osobowych. W dniu 18 listopada 2024 r. polski organ ochrony danych osobowych (UODO) ogłosił swoją decyzję DKN.5131.7.2024., z dnia 18 października 2024 r., w której nałożył karę pieniężną w wysokości 25 000 PLN na Powiatowy Inspektorat Nadzoru Budowlanego w Częstochowie za niewyznaczenie inspektora ochrony danych (IOD).

Powiatowy Inspektorat Nadzoru Budowlanego w Częstochowie wyznaczył inspektora ochrony danych osobowych w formie ustnego zarządzenia. Nie zostało to udokumentowane w inny sposób. Zgodnie ze stanowiskiem UODO taki sposób powołania należy uznać za niewystarczający. W uzasadnieniu decyzji wskazano, że wyznaczenie IOD musi nastąpić w formie pisemnej.

Aby wykazać się skutecznością takiego wyznaczenia przed organem nadzorczym, administrator powinien dążyć by akt prawny (np. wewnętrzne zarządzenie, uchwałę, powierzenie obowiązków) bądź umowa z osobą, która ma sprawować funkcję IOD w sposób nie budzący wątpliwości wskazywały na wyznaczenie do pełnienia funkcji inspektora ochrony danych konkretnej osoby. Dla celów dowodowych istotne jest, aby wyznaczenie IOD nastąpiło w formie pisemnej. Konieczne jest też precyzyjne przypisanie jej zakresu obowiązków zgodnie z przepisami art. 38 i art. 39 RODO.

Podsumowując:

• Wyznaczenie inspektora ochrony danych jest obowiązkowe jedynie w przypadkach określonych w RODO.
• Wyznaczając IOD musimy zapewnić mu niezależność organizacyjną.
• Powołanie musi nastąpić w formie pisemnej.