Ważne do zachowania terminy związane z inspektorem ochrony danych

Poniżej przedstawiono zestawienie istotnych terminów związanych z funkcjonowaniem inspektora ochrony danych (dalej zwanego IOD):

  1. 14 dni – W tym terminie administrator lub podmiot przetwarzający, który wyznaczył u siebie IOD (czy to dlatego, iż miał taki obowiązek, czy też była to jego dobrowolna decyzja), zawiadamia Prezesa Urzędu Ochrony Danych o wyznaczeniu IOD. Termin czternastodniowy ulega przedłużeniu w sytuacji wskazanej w pkt 3 poniżej.
    Ponadto każda zmiana danych wskazanych w zawiadomieniu oraz odwołanie IOD również wymaga zgłoszenia takiej zmiany lub odwołania w terminie 14 dni od jej zaistnienia lub odwołania.
  2. 24 maja 2018 r. – Jeżeli w tym dniu u danego administratora danych osobowych funkcjonował administrator bezpieczeństwa informacji, taki administrator bezpieczeństwa informacji staje się z mocy prawa IOD. W takiej sytuacji administrator danych osobowych nie musi podejmować żadnych dodatkowych działań, aby „przekształcić” administratora bezpieczeństwa informacji w IOD.
  3. 31 lipca 2018 r. – Data ważna zarówno dla administratorów danych osobowych, jak i dla podmiotów przetwarzających.
    Może zdarzyć się i tak, że do tej pory administrator danych osobowych nie powoływał u siebie administratora bezpieczeństwa informacji, a aktualnie jest obowiązany do wyznaczenia IOD (przykładowo, gdy administrator danych osobowych jest organem lub podmiotem publicznym). W takiej sytuacji administrator powinien powołać i zawiadomić Prezesa Urzędu Ochrony Danych o wyznaczeniu u siebie IOD w terminie do dnia 31 lipca 2018 r.
    Także podmiot przetwarzający, który zgodnie z aktualnymi przepisami musi posiadać IOD, jest obowiązany do dnia 31 lipca 2018 r. powołać i zawiadomić Prezesa Urzędu Ochrony Danych o wyznaczeniu IOD.
  4. 1 września 2018 r. – Do tego dnia IOD, który w dniu 24 maja 2018 r. był administratorem bezpieczeństwa informacji, pełni swoją funkcję jako IOD. Administrator może jednak przed dniem 1 września 2018 r. zadecydować, iż wyznacza inną osobę jako IOD. W tym celu administrator zgłasza wyznaczoną przez siebie osobę jako IOD do Prezesa Urzędu Ochrony Danych i podaje jej następujące dane:
  • imię,
  • nazwisko,
  • adres poczty elektronicznej lub numer telefonu.

Jeżeli więc przykładowo do tej pory administratorem bezpieczeństwa informacji był członek personelu administratora, a administrator uznał, że z uwagi na potencjalny konflikt interesów funkcję IOD powinna jednak pełnić osoba z zewnątrz, wówczas zgłasza nowego IOD do Prezesa UOD. Zgłoszenia IOD do Prezesa należy dokonać w terminie 14 dni od dnia jego wyznaczenia.

Jeżeli natomiast administrator danych osobowych chce jednak, aby IOD była po 1 września 2018 r. właśnie osoba, która 24 maja 2018 r. pełniła funkcję administratora bezpieczeństwa informacji, wówczas do dnia 1 września 2018 r. musi zawiadomić Prezesa Urzędu Ochrony Danych o wyznaczeniu tej osoby, wskazując jej: imię, nazwisko oraz adres poczty elektronicznej IOD lub numer telefonu.

Co zrobić, gdy do tej pory administrator danych osobowych posiadał administratora bezpieczeństwa informacji, a zgodnie z aktualnymi przepisami nie ma już obowiązku wyznaczenia IOD? Wystarczy, że odwoła taką osobę wewnętrznie u siebie. Nie musi natomiast informować Prezesa Urzędu Ochrony Danych o takim odwołaniu ani o wyznaczeniu innej osoby na IOD.

Zgłoszenie inspektora ochrony danych do Prezesa Urzędu Ochrony Danych

Wszelkich zawiadomień odnośnie IOD należy dokonywać poprzez wnioski elektroniczne. Wnioski wymagają podpisania kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Nie można dokonywać zawiadomień w drodze zwykłej kores­pondencji – takie zawiadomienia nie będą skuteczne.

Dokonując zawiadomień do Prezesa Urzędu Ochrony Danych, należy dysponować następującymi informacjami:

  • imię i nazwisko IOD,
  • adres poczty elektronicznej lub numer telefonu IOD (wystarczy jedna z tych informacji),
  • gdy administratorem danych lub podmiotem przetwarzającym jest osoba fizyczna – imię i nazwisko oraz adres miejsca zamieszkania administratora danych osobowych,
  • gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą – firma przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej,
  • gdy administratorem danych lub podmiotem przetwarzającym jest inny podmiot niż osoba fizyczna bądź osoba fizyczna prowadząca działalność gospodarczą – pełna nazwa oraz adres siedziby,
  • jeżeli administrator lub podmiot przetwarzający posiada – numer identyfikacyjny REGON.
  • Wszelkie formularze dotyczące zawiadomień Prezesa Urzędu Ochrony Danych udostępniane są w portalu: biznes.gov.pl.