INSPEKTOR OCHRONY DANYCH – KIEDY ISTNIEJE OBOWIĄZEK POWOŁANIA?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane RODO w art. 37 ust. 1 wskazuje na przypadki obowiązkowego wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas. Są to sytuacje gdy:

„a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

  1. b) główna działalnośćadministratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
  2. c) główna działalnośćadministratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalęszczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.”

W przeważającej mierze obowiązek powołania inspektora większość podmiotów gospodarczych (spółek prawa handlowego) upatruje z uwagi na punkt b) powołanego artykułu. Każdorazowo należy przeprowadzić analizę, w której podmiot rozważy m. in. jakiego rodzaju dane przetwarzamy, czy jest to główna działalność spółki (np. sklepy internetowe), czy regularnie i systematycznie spółka monitoruje osoby, których dane dotyczą (np. poprzez aplikacje mobilne, reklamy behawioralne), a nadto czy dane te przetwarza na dużą skalę. Niektóre z urzędów europejskich wskazują, że przetwarzanie na dużą skalę to ok. 5.000 rekordów średniorocznie, inne zaś, wskazują na liczbę nawet 10.000 rekordów średniorocznie. Liczby te mogą stanowić pewną wskazówkę, jednakże każdorazowo uwzględnić należy inne czynniki, w określaniu skali, takie jak zakres przetwarzanych danych, okres ich przetwarzania, zakres geograficzny i zasięg podmiotu na rynku lokalnym lub światowym.

Przypominamy, że w przypadku podmiotów, które powołały Administratora Bezpieczeństwa Informacji (ABI) przed 24 maja 2018 roku i zdecydowały się, że osoba ta będzie pełnić funkcję Inspektora Ochrony Danych również po 25 maja 2018 roku termin na zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych (PUODO) o wyznaczeniu Inspektora mają do 1 września 2018 roku. Zawiadomienia dokonujemy elektronicznie.

O wszelkich zmianach, odwołaniu Inspektora Danych Osobowych administrator lub podmiot przetwarzający ma obowiązek zawiadomić PUODO w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

Siuda, Filipowski i Partnerzy
Spółka Adwokatów i Radców Prawnych


ul. Tylne Chwaliszewo 25 lok B.2.2.1
61-103 Poznań

biuro@siuda-filipowski.pl
tel: +48 61/852 28 09
fax: +48 61/855 75 94
NIP: 778-141- 12-26
REGON: 634507952

Nr konta
PL 80 1140 2017 0000 4402 1307 7816
BIC/SWIFT CODE: BREXPLPWMBK


Polityka prawna
Mapa dojazdu