Czy różni przedsiębiorcy niewchodzący w skład tej samej grupy przedsiębiorstw mogą powołać jednego IOD?

Art. 37 ust. 2 RODO wyraźnie przewiduje możliwość powołania jednego inspektora ochrony danych przez administratorów tworzących grupę przedsiębiorstw, np. grupę kapitałową, o ile będzie można nawiązać z nim kontakt z każdej jednostki organizacyjnej. Grupa przedsiębiorstw została zdefiniowana w przepisach rozporządzenia jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.

Prawodawca europejski w art. 37 ust. 2 RODO przyjął model niejako „wspólnego wyznaczenia inspektora ochrony danych” przez grupę przedsiębiorstw, ze względu na wzajemne powiązania tych przedsiębiorstw, wspólne regulacje wewnętrzne, podobne zasady i sposoby postępowania z danymi osobowymi.

Każde z przedsiębiorstw, wyznaczając na swojego inspektora tę samą osobę, będzie miało możliwość pozostawania jednocześnie w zgodzie nie tylko z warunkiem wskazanym w tym przepisie (łatwości nawiązania kontaktu z inspektorem), ale też ze wszystkimi innymi wymaganiami określonymi w przepisach prawa co do inspektorów ochrony danych. Co bardzo ważne - w takiej sytuacji możliwe będzie np. racjonalne i wspólne określenie zasad dotyczących zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomoc w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów. Inspektor obsługujący grupę podobnie funkcjonujących podmiotów ma możliwość rzetelnego poznania szczegółów ich funkcjonowania oraz obowiązujących je przepisów. Z powyższych powodów rozwiązanie przyjęte w art. 37 ust. 2 wydaje się racjonalne i uzasadnione, i można przypuszczać, że grupy przedsiębiorstw będą chciały z niego korzystać.

Regulacja przyjęta w tym przepisie nie oznacza jednak, że nie jest dopuszczalne wyznaczenie jednej osoby przez kilku administratorów danych poza wskazanym przypadkiem, czyli poza grupą przedsiębiorstw. Przepisy RODO nie zawierają bowiem zakazu w tym zakresie. W każdym przypadku skorzystania z takiego rozwiązania bezwzględnym warunkiem jest to, żeby ta osoba była w stanie autentycznie wypełniać swoje obowiązki wobec każdej obsługiwanej przez niego organizacji i to w sposób w pełni odpowiadający przepisom prawa i potrzebom konkretnego administratora danych (zobacz też odpowiedź na pytanie „Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 2 RODO?”).

2018-05-22 Metadane artykułu
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Monika Młotkiewicz 2018-05-22
Wprowadził‚ informację: Grzegorz Cześnik 2018-05-22 11:05:14
Ostatnio modyfikował: Grzegorz Cześnik 2018-05-22 11:57:34