photo
18.11.2024

Skuteczne wyznaczenie IOD warunkiem koniecznym skutecznej ochrony danych

25 tys. zł administracyjnej kary pieniężnej nałożył Prezes UODO na Powiatowego Inspektora Nadzoru Budowlanego w Częstochowie za niewyznaczenie inspektora ochrony danych, a w konsekwencji brak publikacji jego danych kontaktowych i brak zawiadomienia o tych danych organu nadzorczego.

Obowiązki skutecznego wyznaczenia inspektora ochrony danych spoczywają na administratorze zgodnie z art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 RODO. Zgodnie z tymi przepisami organy lub podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości), są zobowiązane do wyznaczenia inspektora ochrony danych osobowych, publikacji jego danych kontaktowych i zawiadomienia o tym organu nadzorczego.

Powiatowy Inspektorat Nadzoru Budowlanego (PINB), w ramach wszczętego przez Prezesa UODO postępowania, przedłożył kopię akt osobowych dwóch osób, które w jego ocenie pełniły dotychczas funkcję IOD w PINB w Częstochowie, w postaci:

-      zaświadczenia o ukończeniu szkolenia Ochrona Danych Osobowych dla Inspektora Ochrony Danych,

-      klauzuli informacyjnej o przetwarzaniu danych osobowych,

-      upoważnienia do przetwarzania danych osobowych w systemie tradycyjnym i informatycznym,

-      zarządzenia w sprawie wprowadzenia Polityki bezpieczeństwa

przetwarzania danych osobowych w Powiatowym Inspektoracie Nadzoru Budowlanego.

-      zakres czynności pełnienia funkcji IOD na podstawie ustnego polecenia Administratora

Zdaniem Prezesa UODO pojawiające się w wymienionych dokumentach  sformułowania mogą jedynie pośrednio świadczyć, że funkcję IOD w strukturze administratora sprawują wskazane w nich osoby. Nie świadczą one o tym, że doszło do skutecznego wyznaczenia jej na stanowisko IOD. Sprawowanie funkcji IOD na podstawie ustnego polecenia Administratora nie stanowi o jego skuteczności.

Pragnąc bowiem wykazać się skutecznością takiego wyznaczenia przed organem nadzorczym, administrator powinien dążyć by akt prawny (np. wewnętrzne zarządzenie, uchwałę, powierzenie obowiązków) bądź umowa z osobą, która ma sprawować funkcję IOD w sposób nie budzący wątpliwości wskazywały na wyznaczenie do pełnienia funkcji inspektora ochrony danych konkretnej osoby. Dla celów dowodowych istotne jest, aby posiadały też formę pisemną. Konieczne jest też precyzyjne przypisanie jej zakresu obowiązków zgodnie z przepisami art. 38 i art. 39 RODO.

W przypadku PINB w Częstochowie, administrator dopełnił formalności i skutecznie wskazał konkretną osobę do pełnienia funkcji IOD dopiero 4 marca 2024 r. czyli już po przeprowadzeniu postępowania UODO. Następnego dnia zawiadomił o tym Prezesa UODO. Do dnia wydania decyzji (18 października 2024 r.) nie dokonał jednak publikacji danych kontaktowych ww. osoby. Obecnie dane kontaktowe IOD są opublikowane na stronie internetowej administratora.

Skuteczne wyznaczenie i publikacja danych inspektora ochrony danych stanowi ważną gwarancję ochrony danych osobowych podmiotów, których dane są przetwarzane. Wynika to z samej roli inspektora ochrony danych i szerokiego wachlarzu zadań, przypisanych mu na gruncie art. 38 i 39 RODO zadań.

DKN.5131.7.2024

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2024-11-18
Wprowadził informację:
user Agnieszka Kaczor
date 2024-11-18 10:11:38
Ostatnio modyfikował:
user Agnieszka Kaczor
date 2024-11-20 15:24:07