DLA ADMINISTRATORA
Aby prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD (zastępcy IOD) należy pamiętać o poniższych określonych prawem wymaganiach:
- Zawiadomienie dotyczące IOD [ ... ]
Aby prawidłowo zawiadomić o wyznaczeniu/odwołaniu/zmianie danych IOD (zastępcy IOD) należy pamiętać o poniższych określonych prawem wymaganiach:
- Zawiadomienie dotyczące IOD lub jego zastępcy musi mieć postać elektroniczną.
Jedynym prawidłowym i skutecznym sposobem zawiadomienia Prezesa UODO o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej(zgodnie z art. 10 ust. 6 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz z art. 46 ust. 9 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości).
Analogiczny sposób dotyczy także zawiadomień dotyczących zastępcy inspektora ochrony danych (art. 11a ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz art. 46 ust. 6 ustawy z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości) .
Oznacza to, że należy skorzystać z właściwego formularza elektronicznego(dotyczącego IOD bądź zastępcy IOD) odpowiedniego do podstawy ich powołania. Administratorzy wyznaczający IOD/zastępcę IOD na podstawie RODO oraz ustawy z dnia 10 maja 2018 r. powinni bowiem skorzystać z formularzy oznaczonych jako RODO, natomiast administratorzy wyznaczający IOD/zastępcę IOD na podstawie ustawy z dnia 14 grudnia 2018 r., powinni skorzystać z formularzy DODO.
Podkreślić też należy, że niektórzy administratorzy są zobowiązani do wyznaczenia IOD zarówno na podstawie RODO, jak i ustawy z dnia 14 grudnia 2018 r. (np. Policja), a wówczas muszą oni przesłać osobne zawiadomienia, korzystając przy tym z właściwych formularzy.
Odpowiednie elektroniczne formularze znajdziecie Państwo na naszej stronie internetowej: https://uodo.gov.pl/492.
- Wypełniony formularz musi zostać opatrzony kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP osoby uprawnionej do reprezentowania administratora.
- W zawiadomieniu należy podać wszystkie wymagane przepisami prawa informacje. W ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych są one określone w art. 10 ust. 1 i 3. Natomiast w ustawie z dnia 14 grudnia 2018 r. o ochronie danych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości wymagane informacje wskazane zostały w art. 46 ust. 9.
- Do zawiadomienia składanego przez pełnomocnika należy załączyć pełnomocnictwo udzielone w formie elektronicznej oraz opłatę skarbową od pełnomocnictwa (chyba że przepisy zwalniają od jej uiszczenia).
Więcej na ten temat znaleźć można w materiałach dotyczących zgłaszania IOD przez pełnomocnika.
Monika Młotkiewicz
2022-05-30
Łukasz Kuligowski
2022-05-30 15:05:09
2026-04-09 14:41:10
Wyznaczenie IOD na podstawie ustawy wdrażającej dyrektywę policyjną (dyrektywę 2016/680)
Większość podmiotów podlegających ustawie z dnia 14 [ ... ]
Wyznaczenie IOD na podstawie ustawy wdrażającej dyrektywę policyjną (dyrektywę 2016/680)
Większość podmiotów podlegających ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości było zobowiązanych od 25 maja 2018 r. do wyznaczenia inspektora ochrony danych (IOD) na podstawie RODO. Wskazuje na to - odnoszący się do organów i podmiotów publicznych – art. 37 ust. 1 lit. a RODO oraz art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Co prawda RODO nie ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jednak ze względu na przetwarzanie przez te organy i podmioty publiczne danych osobowych w innych celach, np. realizacji zadań pracodawców, były one zobowiązane do wyznaczenia IOD już na gruncie RODO.
Dlatego też w związku z ww. ustawą z dnia 14 grudnia 2018 r. wdrażającą dyrektywę 2016/680, która obowiązuje od 6 lutego 2019 r., w większości przypadków administratorzy danych nie musieli wyznaczać nowego IOD. Wymóg ten mieli zaś ci, którzy wcześniej nie wyznaczyli inspektora.
Jakie podmioty zobowiązane są do wyznaczenia IOD na podstawie ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości
Podmiotami zobowiązanymi do wyznaczenia IOD na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości są przede wszystkim: sądy, prokuratury, Policja, Straż Graniczna, Służba Więzienna, Żandarmeria Wojskowa, Służba Ochrony Państwa. Obowiązek ten mają również Generalny Inspektor Informacji Finansowej, Krajowa Administracja Skarbowa. Także komendanci straży gminnej i miejskiej musza wyznaczyć IOD, niezależnie od tego, czy są oni umiejscowieni w strukturze urzędu gminy czy nie. Ponadto wymóg wyznaczenia inspektora spoczywa także na się Głównym Inspektorem Transportu Drogowego, Straży Ochrony Kolei, Ministerstwie Środowiska, Głównym Inspektorze Ochrony Środowiska, Straży Rybackiej, Głównym Inspektorze Straży Leśnej, Państwowej Straży Łowieckiej, Urzędzie Żeglugi Śródlądowej, urzędach morskich, Państwowej Inspekcji Sanitarnej, Państwowej Straży Pożarnej, Inspektorze Nadzoru Wewnętrznego (MSWiA).
Powyższa ustawa określa, że podmioty odpowiedzialne za bezpieczeństwo imprez masowych oraz przewoźnicy lotniczy również są w grupie administratorów, którzy muszą powołać IOD.
Sposób i termin zawiadomienia Prezesa UODO o wyznaczeniu IOD
Zgodnie z art. 46 ust. 9 ustawy z 14 grudnia 2018 r. zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem zaufanym ePUAP osoby uprawnionej do reprezentowania administratora. Więcej informacji o tym, jak można uzyskać profil zaufany ePUAP można znaleźć pod następującym linkiem https://pz.gov.pl/pz/index.
W zawiadomieniu należy podać imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora ochrony danych. Warto skorzystać z właściwego formularza elektronicznego dostępnego na stronie www.uodo.gov.pl. (więcej Jaki formularz zawiadomienia wybrać?)
Zawiadomienie należy złożyć w terminie 14 dni od dnia wyznaczenia. Ten sam termin dotyczy zawiadomienia o każdej zmianie w zakresie danych (czyli imię, nazwisko, adres poczty elektronicznej lub numer telefonu inspektora ochrony danych oraz nazwy i adresu podmiotu, który wyznaczył IOD) oraz o odwołaniu inspektora ochrony danych (termin liczy się od dnia zaistnienia zmiany lub odwołania).
Zawiadomienie może zostać dokonane przez pełnomocnika. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej (więcej Czy można zawiadomić o IOD przez pełnomocnika i jak to zrobić? )
Zastępca IOD
Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości przewiduje możliwość wyznaczenia osoby zastępującej inspektora ochrony danych w czasie jego nieobecności (art. 46 ust. 4). W przypadku zawiadamiania Prezesa UODO o zastępcy IOD, należy postąpić w sposób opisany powyżej, wybierając jeden z formularzy dotyczących zastępcy IOD (więcej Jaki formularz zawiadomienia wybrać? )
Monika Młotkiewicz
2025-04-02
Edyta Madziar
2025-04-02 10:04:45
2026-04-16 12:23:19
Kodeksy i certyfikacja
Zgłoszenia można dokonać elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem [ ... ]
Zgłoszenia można dokonać elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku.
Jeżeli naruszenie dotyczy danych osób w różnych krajach UE, Prezes UODO może być, ale nie musi być wiodącym (czyli właściwym dla administratora lub podmiotu przetwarzającego) organem nadzorczym. W przypadku transgranicznego naruszenia danych administrator powinien dokonać analizy, czy wiodącym organem nadzorczym w odniesieniu do czynności przetwarzania, które zostały objęte naruszeniem jest Prezes UODO, czy też może inny europejski organ nadzorczy.
Jacek Młotkiewicz
2022-12-20
Łukasz Kuligowski
2022-12-20 12:12:27
Edyta Madziar
2025-02-27 14:17:01
W przypadku stwierdzenia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana [ ... ]
W przypadku stwierdzenia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Jeżeli w wyniku przeprowadzonego badania okaże się, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, administrator zwolniony jest z obowiązku –zgłoszenia naruszenia organowi nadzorczemu.
Trzeba jednakże pamiętać, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.
Z ryzykiem naruszenia praw lub wolności osób fizycznych mamy do czynienia wówczas, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji, utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.
Jacek Młotkiewicz
2022-12-20
Łukasz Kuligowski
2022-12-20 11:12:12
Łukasz Kuligowski
2022-12-20 11:49:24
Z wnioskiem o uprzednie konsultacje może wystąpić administrator (art. 36 ust. 1 RODO oraz art. 57 ust. [ ... ]
Z wnioskiem o uprzednie konsultacje może wystąpić administrator (art. 36 ust. 1 RODO oraz art. 57 ust. 1 ustawy o ochronie danych osobowych).
Z wnioskiem o uprzednie konsultacje należy wystąpić w sytuacji, w której w wyniku przeprowadzonej oceny skutków dla ochrony danych na liście badanych operacji przetwarzania znajdą się operacje, dla których ryzyko naruszenia praw i wolności oszacowane zostało jako wysokie i gdy administrator danych nie może znaleźć środków wystarczających do zmniejszenia (zminimalizowania) tego ryzyka do dopuszczalnego poziomu (art. 36 RODO).
Wówczas przed rozpoczęciem przetwarzania danych należy wyniki przeprowadzonej oceny skonsultować z organem nadzorczym, chyba że administrator podejmie decyzję o nieprzetwarzaniu danych, np. niewprowadzaniu nowej usługi.
Podkreślić zatem warto, że jeżeli przeprowadzona ocena skutków dla ochrony danych wykazała, że przetwarzanie nie będzie powodować wysokiego ryzyka, wtedy nie ma podstaw do wystąpienia do organu o uprzednie konsultacje (art. 36 ust. 1 RODO).
Uprzednie konsultacje są narzędziem służącym do współpracy pomiędzy organem nadzorczym oraz administratorem. Celem uprzednich konsultacji jest jak najlepsze zabezpieczenie operacji przetwarzania danych osobowych przez administratora przy współpracy organu nadzorczego.
Zmieniony wykaz rodzajów operacji wymagających oceny skutków.
Czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, wymagają przeprowadzenia oceny skutków dla ochrony danych. Wymóg taki istnieje także, gdy administratorzy danych monitorują zachowania osób w kilku państwach członkowskich.
8 lipca 2019 r. w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Zgodnie z art. 35 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje.
Co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji, niezależnie od środków przewidzianych przez administratora do zastosowania, wymagana będzie ocena skutków dla ochrony danych.
Przykład: Administrator oferuje system monitoringu osiągnięć sportowych, wykorzystujący chmurę obliczeniową, współpracujący z inteligentnymi opaskami rejestrującymi dane dotyczące tętna (przetwarzanie szczególnych kategorii danych osobowych – pozycja 4 wykazu) oraz dane lokalizacyjne (przetwarzanie danych lokalizacyjnych – pozycja 12 wykazu).
Wykaz ten został zaktualizowany po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.
Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 35 ust 4 i 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych dostępnego na stronie: http://monitorpolski.gov.pl/MP/2019/666.
Monika Młotkiewicz
2018-05-23
Grzegorz Cześnik
2018-05-23 08:05:14
Łukasz Kuligowski
2022-12-09 13:51:47