Obowiązki skutecznego wyznaczenia inspektora ochrony danych spoczywają na administratorze zgodnie z art. 37 ust. 1 lit. a) oraz art. 37 ust. 7 RODO. Zgodnie z tymi przepisami organy lub podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości), są zobowiązane do wyznaczenia inspektora ochrony danych osobowych, publikacji jego danych kontaktowych i zawiadomienia o tym organu nadzorczego.

Powiatowy Inspektorat Nadzoru Budowlanego (PINB), w ramach wszczętego przez Prezesa UODO postępowania, przedłożył kopię akt osobowych dwóch osób, które w jego ocenie pełniły dotychczas funkcję IOD w PINB w Częstochowie, w postaci:

  • zaświadczenia o ukończeniu szkolenia Ochrona Danych Osobowych dla Inspektora Ochrony Danych,
  • klauzuli informacyjnej o przetwarzaniu danych osobowych,
  • upoważnienia do przetwarzania danych osobowych w systemie tradycyjnym i informatycznym,
  • zarządzenia w sprawie wprowadzenia Polityki bezpieczeństwa przetwarzania danych osobowych w Powiatowym Inspektoracie Nadzoru Budowlanego.
  • zakres czynności pełnienia funkcji IOD na podstawie ustnego polecenia Administratora

 

Jak skutecznie wyznaczyć inspektora danych osobowych

Zdaniem Prezesa UODO pojawiające się w wymienionych dokumentach  sformułowania mogą jedynie pośrednio świadczyć, że funkcję IOD w strukturze administratora sprawują wskazane w nich osoby. Nie świadczą one o tym, że doszło do skutecznego wyznaczenia jej na stanowisko IOD. Sprawowanie funkcji IOD na podstawie ustnego polecenia Administratora nie stanowi o jego skuteczności.

Pragnąc bowiem wykazać się skutecznością takiego wyznaczenia przed organem nadzorczym, administrator powinien dążyć by akt prawny (np. wewnętrzne zarządzenie, uchwałę, powierzenie obowiązków) bądź umowa z osobą, która ma sprawować funkcję IOD w sposób nie budzący wątpliwości wskazywały na wyznaczenie do pełnienia funkcji inspektora ochrony danych konkretnej osoby. Dla celów dowodowych istotne jest, aby posiadały też formę pisemną. Konieczne jest też precyzyjne przypisanie jej zakresu obowiązków zgodnie z przepisami art. 38art. 39 RODO.

W przypadku PINB w Częstochowie, administrator dopełnił formalności i skutecznie wskazał konkretną osobę do pełnienia funkcji IOD dopiero 4 marca 2024 r. czyli już po przeprowadzeniu postępowania UODO. Następnego dnia zawiadomił o tym Prezesa UODO. Do dnia wydania decyzji (18 października 2024 r.) nie dokonał jednak publikacji danych kontaktowych wyżej wymienionej osoby. Obecnie dane kontaktowe IOD są opublikowane na stronie internetowej administratora.

Prezes Urzędu Ochrony Danych Osobowych podkreśla, że skuteczne wyznaczenie i publikacja danych inspektora ochrony danych stanowi ważną gwarancję ochrony danych osobowych podmiotów, których dane są przetwarzane. Wynika to z samej roli inspektora ochrony danych i szerokiego wachlarzu zadań, przypisanych mu na gruncie art. 38 i 39 RODO zadań.