Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE* (RODO) zastąpiło dotychczasowego Administratora Bezpieczeństwa Informacji nową instytucją - Inspektorem Ochrony Danych (IOD). Dodatkowo RODO w pewnych sytuacjach wprowadziło obowiązek powołania takiego Inspektora.
Zgodnie z art. 37 RODO wyznaczyć inspektora ochrony danych należy, zawsze gdy:
- Przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
W innych przypadkach administrator może wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznacza inspektora ochrony danych.
Zgodnie z polską ustawą z 24 maja 2018 r. o ochronie danych osobowych, osoba pełniąca dotychczas funkcję administratora bezpieczeństwa informacji staje się inspektorem ochrony danych. Administrator danych osobowych może oczywiście wyznaczyć inną osobę na inspektora ochrony danych.
Administrator, który dotychczas nie powoływał administratora bezpieczeństwa informacji jest obowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 rozporządzenia 2016/679 i zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu, w terminie do dnia 31 lipca 2018 r. Jest to więc ostatni dzwonek na dopełnienie tego obowiązku.
Jakie podmioty mają obowiązek powołania Inspektora Ochrony Danych i kto może nim zostać? Przeczytaj w Serwisie Prawa Pracy i Ubezpieczeń Społecznych w poradniku: Inspektor Ochrony Danych w pytaniach i odpowiedziach
----------------------------------------------------------------------------
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.