DLA ADMINISTRATORA
Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych dla [ ... ]
Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych dla administratorów i podmiotów przetwarzających wówczas, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (sądy są zobowiązane do wyznaczenia IOD, więcej na ten temat Wyznaczenie IOD w sądach powszechnych.
Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, zgodnie z art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne, organy władzy, sądy i inne podmioty tworzące sektor finansów publicznych wskazane w art. 9 ustawy o finansach publicznych), instytuty badawcze oraz Narodowy Bank Polski.
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.
W interpretacji terminów użytych w art. 37 ust. 1 lit. b i c RODO („główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”) pomocne mogą być motywy RODO oraz Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych (zapewnić bezpośrednie łącze odsyłające bezpośrednio do Wytycznych na nowej stronie). W Wytycznych zawarto również wiele praktycznych, konkretnych przykładów sytuacji spełniających te kryteria. Podano np., że w przypadku placówek medycznych główną działalnością jest wprawdzie zapewnianie opieki zdrowotnej, ale ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej. Jako przykład „działalności głównej polegającej na przetwarzaniu na dużą skalę wrażliwych danych osobowych” jest tam podana działalność szpitali.
Natomiast jako przykład przetwarzania nie mieszczący się w definicji dużej skali - zgodnie z motywem 91 RODO - należy wskazać przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną). Wytyczne oparte są na założeniu, że wraz z rozwojem praktyki ukształtują się standardy, które umożliwią bardziej szczegółowe i/lub kwantytatywne zidentyfikowanie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania.
Sposób sformułowania tych przepisów wymaga więc od administratora samodzielnego dokonywania analizy sytuacji i oceny, czy taki obowiązek w jego przypadku istnieje. Co więcej – w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) (zapewnić bezpośrednie łącze odsyłające bezpośrednio do Wytycznych na nowej stronie) zaleca się, aby przeprowadzenie oceny w zakresie istnienia obowiązku wyznaczenia inspektora udokumentować, a nawet powtarzać taką ocenę w razie potrzeby, co jakiś czas. Sytuacja danego podmiotu może się bowiem zmieniać. Na przykład mała przychodnia może stopniowo rozszerzać swoją działalność, obejmując o nowe usługi i świadczenia i po jakimś czasie stać się dużym podmiotem przetwarzającym dane wrażliwe na dużą skalę.
Warto dodać, że na podstawie tych samych przesłanek RODO przewiduje obowiązek wyznaczenia IOD przez podmioty przetwarzające, czyli podmioty, które np. przetwarzają dane osobowe na zlecenie placówek medycznych w związku ze specjalistycznymi usługami, jakie dla nich świadczą, na przykład przechowują dokumentację medyczną lub serwisują sprzęt informatyczny czy diagnostyczny.
Monika Młotkiewicz
2022-03-16
Łukasz Kuligowski
2022-03-16 10:03:46
2026-04-09 14:40:46
Aby prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD (zastępcy IOD) należy pamiętać o poniższych określonych prawem wymaganiach:
- Zawiadomienie dotyczące IOD [ ... ]
Aby prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD (zastępcy IOD) należy pamiętać o poniższych określonych prawem wymaganiach:
- Zawiadomienie dotyczące IOD lub jego zastępcy musi mieć postać elektroniczną.
Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) .
Oznacza to, że należy skorzystać z właściwego formularza elektronicznego(dotyczącego IOD bądź zastępcy IOD) odpowiedniego do podstawy ich powołania. Administratorzy wyznaczający IOD/zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni bowiem skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD/zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
Odpowiednie elektroniczne formularze znajdziecie Państwo na naszej stronie internetowej: https://uodo.gov.pl/492.
- Wypełniony formularz musi zostać opatrzony kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP osoby uprawnionej do reprezentowania administratora.
- W zawiadomieniu należy podać wszystkie wymagane przepisami prawa informacje. W ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych są one określone w art. 10 ust. 1 i 3. Natomiast w ustawie z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości wymagane informacje wskazane zostały w art. 46 ust. 9.
- Do zawiadomienia składanego przez pełnomocnika należy załączyć pełnomocnictwo udzielone w formie elektronicznej oraz opłatę skarbową od pełnomocnictwa (chyba że przepisy zwalniają od jej uiszczenia).
Więcej na ten temat znaleźć można w materiałach dotyczących zgłaszania IOD przez pełnomocnika.
Monika Młotkiewicz
2022-05-30
Łukasz Kuligowski
2022-05-30 15:05:09
2026-04-09 14:41:10
Zgłoszenia można dokonać elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem [ ... ]
Zgłoszenia można dokonać elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku.
Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.
Jacek Młotkiewicz
2022-12-20
Łukasz Kuligowski
2022-12-20 12:12:27
Edyta Madziar
2025-02-27 14:17:01
W przypadku stwierdzenia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana [ ... ]
W przypadku stwierdzenia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, administrator zwolniony jest z obowiązku –zgłoszenia naruszenia organowi nadzorczemu.
Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.
Jacek Młotkiewicz
2022-12-20
Łukasz Kuligowski
2022-12-20 11:12:12
Łukasz Kuligowski
2022-12-20 11:49:24
