Kiedy należy mieć IOD

RODO nakłada na przedsiębiorców obowiązek powołania Inspektora Danych Osobowych (IOD).

Kim jest IOD i kto ma obowiązek jego powołania?

IOD jest niejako ekspertem ds. przetwarzania danych osobowych w przedsiębiorstwie. Do jego zadań należy m.in. informowanie administratora i pracowników o ich obowiązkach z zakresu ochrony danych, przeprowadzanie szkoleń, a także monitorowanie przestrzegania zasad ochrony bezpieczeństwa danych w przedsiębiorstwie. Zgodnie z przepisami IOD może być członkiem personelu administratora lub podmiotu przetwarzającego, lub wykonywać zadania na podstawie umowy o świadczenie usług.

W art. 37 RODO zostały wyraźnie wskazane kryteria, które spełnione przez Administratora Danych Osobowych lub podmiot przetwarzający dane sprawiają, że jest on zobowiązany do powołania Inspektora Ochrony Danych.

Przykłady działalności, gdzie niezbędne jest wyznaczenie IODa

  • obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
  • śledzenie lokalizacji (na przykład przez aplikacje mobilne),
  • programy lojalnościowe czy reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, itd.

Samo powołanie nie wystarczy!

Administrator może być zobowiązany do powołania IODa, może to też uczynić fakultatywnie, nie jest to jednak koniec jego obowiązków. Zgodnie z art. 10 ust. 6 ustawy o ochronie danych osobowych, należy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych  o wyznaczeniu IODa w terminie 14 dni od jego powołania. Usługa jest bezpłatna, a sprawa powinna być załatwiona od ręki.

Sposób zawiadomienia

Zawiadomienia o wyznaczeniu IOD należy dokonywać w postaci elektronicznej i opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Na stronie internetowej UODO znajduje się gotowy do wypełnienia formularz wraz z przydatną instrukcją.

Udostępnienie danych IOD

Przepisy przewidują dodatkowo, że podmiot, który wyznaczył IODa, udostępnia imię, nazwisko, adres poczty elektronicznej lub numer telefonu IODa niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej. W przypadku braku posiadania własnej strony internetowej dane powinny być udostępnione w sposób ogólnie dostępny w miejscu prowadzenia działalności.