Prawo

Wyznaczenie IOD warunkiem skutecznej ochrony danych

Prezes UODO nałożył 25 tys. zł kary na Powiatowego Inspektora Nadzoru Budowlanego w Częstochowie za niewyznaczenie inspektora ochrony danych, a w konsekwencji brak publikacji jego danych kontaktowych i brak zawiadomienia o tych danych organu nadzorczego.

Obowiązki skutecznego wyznaczenia inspektora ochrony danych spoczywają na administratorze zgodnie z art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 RODO. Zgodnie z tymi przepisami organy lub podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości), są zobowiązane do wyznaczenia inspektora ochrony danych osobowych, publikacji jego danych kontaktowych i zawiadomienia o tym organu nadzorczego.

Powiatowy Inspektorat Nadzoru Budowlanego (PINB), w ramach wszczętego przez Prezesa UODO postępowania, przedłożył kopię akt osobowych dwóch osób, które w jego ocenie pełniły dotychczas funkcję IOD w PINB w Częstochowie, w postaci:

  • -      zaświadczenia o ukończeniu szkolenia Ochrona Danych Osobowych dla Inspektora Ochrony Danych,
  • -      klauzuli informacyjnej o przetwarzaniu danych osobowych,
  • -      upoważnienia do przetwarzania danych osobowych w systemie tradycyjnym i informatycznym,
  • -      zarządzenia w sprawie wprowadzenia Polityki bezpieczeństwa przetwarzania danych osobowych w Powiatowym Inspektoracie Nadzoru Budowlanego.
  • -      zakres czynności pełnienia funkcji IOD na podstawie ustnego polecenia Administratora

Zdaniem Prezesa UODO pojawiające się w wymienionych dokumentach  sformułowania mogły jedynie pośrednio świadczyć, że funkcję IOD w strukturze administratora sprawowały wskazane w nich osoby. Dokumenty te nie świadczyły o tym, że doszło do skutecznego wyznaczenia osób na stanowisko IOD. Sprawowanie funkcji IOD na podstawie ustnego polecenia Administratora nie stanowi o jego skuteczności.

By skutecznie wyznaczyć IOD, administrator powinien dążyć by akt prawny (np. wewnętrzne zarządzenie, uchwałę, powierzenie obowiązków) bądź umowa z osobą, która ma sprawować funkcję IOD, w sposób nie budzący wątpliwości wskazywały na wyznaczenie do pełnienia funkcji inspektora ochrony danych konkretnej osoby. Dla celów dowodowych istotne jest, aby posiadały też formę pisemną. Konieczne jest też precyzyjne przypisanie jej zakresu obowiązków zgodnie z przepisami art. 38 i art. 39 RODO.

W przypadku PINB w Częstochowie, administrator dopełnił formalności i skutecznie wskazał konkretną osobę do pełnienia funkcji IOD dopiero 4 marca 2024 r. czyli już po przeprowadzeniu postępowania UODO. Następnego dnia zawiadomił o tym Prezesa UODO. Do dnia wydania decyzji (18 października 2024 r.) nie dokonał jednak publikacji danych kontaktowych ww. osoby. Obecnie dane kontaktowe IOD są opublikowane na stronie internetowej administratora.

Skuteczne wyznaczenie i publikacja danych inspektora ochrony danych stanowi ważną gwarancję ochrony danych osobowych podmiotów, których dane są przetwarzane. Wynika to z samej roli inspektora ochrony danych i szerokiego wachlarzu zadań, przypisanych mu na gruncie art. 38 i 39 RODO zadań.

Aby zapewnić prawidłowe działanie i wygląd niniejszego serwisu oraz aby go stale ulepszać, stosujemy takie technologie jak pliki cookie oraz usługi firm Adobe oraz Google. Ponieważ cenimy Twoją prywatność, prosimy o zgodę na wykorzystanie tych technologii.

Zgoda na wszystkie
Zgoda na wybrane