Decyzja o wyznaczeniu inspektora ochrony danych to jedno z pierwszych pytań, które pojawia się przy wdrożeniu RODO. Art. 37 RODO odpowiada na nie wprost — ale w praktyce granica między „muszę” a „nie muszę, ale powinienem” bywa niewyraźna.
Kiedy wyznaczenie IOD jest obowiązkowe
RODO wymaga wyznaczenia IOD w trzech przypadkach (art. 37 ust. 1):
Przetwarzania dokonuje organ lub podmiot publiczny — z wyjątkiem sądów sprawujących wymiar sprawiedliwości. Dotyczy to urzędów, szkół, szpitali publicznych, spółek komunalnych i wszystkich jednostek sektora publicznego.
Główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób na dużą skalę. Przykłady: firmy telekomunikacyjne, banki, ubezpieczyciele, platformy internetowe.
Główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (art. 9) lub danych dotyczących wyroków skazujących (art. 10). Przykłady: szpitale, laboratoria diagnostyczne, firmy przetwarzające dane biometryczne.
Co oznacza „duża skala”
RODO nie definiuje „dużej skali” liczbowo. EDPB w wytycznych (WP 243) wskazuje kryteria pomocnicze: liczba osób których dane dotyczą, zakres przetwarzanych danych, czas trwania przetwarzania, zasięg geograficzny. Lekarz prowadzący prywatną praktykę nie przetwarza danych na dużą skalę. Sieć klinik — tak.
Jakie kwalifikacje powinien mieć IOD
Art. 37 ust. 5 RODO mówi o wyznaczeniu „na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w art. 39″.
W praktyce oznacza to:
- Znajomość RODO i krajowych przepisów o ochronie danych — w tym ustawy o ochronie danych osobowych, sektorowych regulacji (np. prawo pracy, prawo medyczne).
- Znajomość procesów przetwarzania danych w organizacji — IOD musi rozumieć jak dane przepływają, jakie systemy są używane, kto ma dostęp.
- Umiejętność przeprowadzania audytów, oceny ryzyka i komunikacji z organem nadzorczym.
- Nie ma wymogu wykształcenia prawniczego, certyfikatu ani konkretnego stażu pracy. Liczy się faktyczna kompetencja.
Wyznaczenie i zgłoszenie do UODO
Po wyznaczeniu IOD administrator ma obowiązek:
- Zawiadomić UODO o wyznaczeniu IOD — w terminie 14 dni od wyznaczenia (art. 10 ustawy o ochronie danych osobowych).
- Opublikować dane kontaktowe IOD — na stronie internetowej, a jeśli nie prowadzi strony — w inny dostępny sposób.
- Zapewnić IOD zasoby, niezależność i dostęp do informacji.
Przeczytaj czym inspektor danych osobowych zajmuje się w praktyce.
FAQ
Nie, jeśli nie spełnia przesłanek z art. 37 ust. 1 RODO. Ale nawet mała firma może wyznaczyć IOD dobrowolnie — i jest to zalecane, gdy przetwarzanie danych jest istotnym elementem działalności.
Nie. RODO nie wymaga żadnego certyfikatu. Certyfikaty (np. CIPP/E, CIPM) mogą potwierdzać wiedzę, ale nie są warunkiem wyznaczenia.
ak — pod warunkiem że nie zachodzi konflikt interesów i pracownik ma odpowiednie kwalifikacje. Nie może to być osoba, która podejmuje decyzje o celach i sposobach przetwarzania (np. dyrektor IT, HR, marketingu).
Koszty zależą od skali organizacji i zakresu obowiązków. Na rynku polskim ceny wahają się od kilkuset do kilku tysięcy złotych miesięcznie. Kluczowe: nie cena, ale faktyczna dostępność i kompetencja IOD.
Brak wyznaczenia IOD, gdy jest to obowiązkowe, stanowi naruszenie RODO i może skutkować karą administracyjną do 10 mln EUR lub 2% rocznego obrotu (art. 83 ust. 4 lit. a RODO).
Zarządzaj RODO w organizacji — w jednym miejscu
iGDPR pomaga indsektorowi danych osobowych w realizacji jego zadań. Tu poprowadzisz rejestr czynności przetwarzania, będziesz ewidencjonować umowy z podmiotami przetwarzającymi, przeprowadzać analizę ryzyka i zarządzać upoważnieniami. Sprawdź, jak działa w praktyce.
TESTUJ TERAZ — 21 dni bezpłatnie
