REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Obrót gospodarczy » Działalność gospodarcza » Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
29 sierpnia 2018, 11:23
Rachelski i Wspólnicy Kancelaria Prawna
Rachelski i Wspólnicy Kancelaria Prawna
Uwalniamy od problemów
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

REKLAMA

REKLAMA

Czy w związku z wejściem w życie przepisów RODO masz obowiązek powołać Inspektora Ochrony Danych w swojej firmie? Wyjaśnia Wojciech Ostrowski, radca prawny w Kancelarii Rachelski i Wspólnicy.

Przepisy Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE ( w dalszej części zwane RODO) wprowadzają w art. 5 ust.1 RODO określone zasady przetwarzania danych osobowych. Do tzw. materialnych zasad przetwarzania danych osobowych RODO zalicza:

Autopromocja
Rozliczanie dochodów zagranicznych za 2023 rok
Błędy w rozliczeniach VAT. Na czym polegają i jak ich uniknąć - Poradnik Gazety Prawnej
PIT-y i ulgi podatkowe 2023

1) zasadę legalności, rzetelności i przejrzystości przetwarzania (tzw. zgodność przetwarzania z prawem);

2) zasadę celowości (ograniczania celu, przetwarzanie tylko w takim celu, jaki został podany przy ich pozyskiwaniu);

3) zasadę minimalizacji danych (tj. adekwatność, proporcjonalność, zbieramy tylko takie dane, które są nam potrzebne, nie zbieramy danych na wyrost), 4) zasadę prawidłowości (poprawności);

VAT 2024. Komentarz
Autopromocja

VAT 2024. Komentarz z programem INFORLEX Matryca stawek VAT w PREZENCIE

Sprawdź

5) zasadę ograniczenia czasowego (czasowość, nie możemy przetwarzać danych w sposób nieograniczony czasowo);

Dalszy ciąg materiału pod wideo

6) zasadę odpowiedniego bezpieczeństwa (integralności i poufności danych).

Niezależnie od tego RODO wprowadza jeszcze jedną generalną zasadę (tzw. zasadę formalną) a mianowicie taką, że ciężar udowodnienia,  przy przetwarzaniu danych osobowych Administrator ( a więc Twoja firma) stosuje się do wymienionych powyżej zasad przetwarzania danych spoczywa na nas samych (art.5 ust.1 RODO).

Komplet: VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024
Autopromocja

VAT 2024 + PIT, CIT i Ryczałt ewidencjonowany 2024 + Ordynacja podatkowa, NIP 2024

Sprawdź

Jest to tzw. wymóg rozliczalności. Oznacza on, ni mniej ni więcej tylko to, że mamy nie tylko obowiązek stosować się do w/w 6 zasad materialnych, lecz także, w razie kontroli, wykazać, że podejmowane przez nas działania i stosowane metody są zgodne z RODO, a co więcej są skuteczne.

W świetle RODO, instytucja Inspektora Ochrony Danych (dalej IOD) jest tym elementem, który ma wspomagać Administratora w przestrzeganiu wspomnianej zasady rozliczalności.

Ordynacja podatkowa, NIP 2024
Autopromocja

Ordynacja podatkowa, NIP 2024

Sprawdź

Zobacz również:

Czy jednak wszyscy Administratorzy mają obowiązek powołania IOD?

Jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD w każdym podmiocie, to jednak ze względu na wspomnianą powyżej zasadę rozliczalności, niejednokrotnie korzystne dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Z drugiej jednak strony, w świetle przepisów RODO, niektórzy administratorzy i przetwarzający dane mają obowiązek wyznaczenia IOD. Mówiąc ogólnie możemy rozróżnić dwie kategorie podmiotów, a więc te, które co do zasady nie mają obowiązku powołania IOD oraz takie, które obligatoryjnie muszą wyznaczyć IOD.

Zgodnie art. 37 RODO obowiązek wyznaczenia IOD mają następujący administratorzy i podmioty przetwarzające dane:

- organy i podmioty publiczne (do takich podmiotów najczęściej zalicza się organy władzy państwowej, lokalne władze samorządowe, instytucje publiczne, jednostki wykonujące powierzone zadania publiczne takie jak np. transport publiczny, dostarczanie energii lub wody, świadczenie usług w zakresie infrastruktury drogowej, radiofonii i telewizji publicznej lub inne przedsiębiorstwa użyteczności publicznej),

- podmioty, których główny przedmiot działalności polega na operacjach przetwarzania, które ze względu na swoją dużą skalę, charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Do tej kategorii podmiotów, które będą zobowiązane do wyznaczenia IOD można tytułem przykładu wymienić: podmioty świadczące sprzedaż produktów przez internet, szpitale w zakresie przetwarzania danych pacjentów, banki przetwarzające dane swoich klientów albo instytucje ubezpieczeniowe, faktoringowe w zakresie prowadzonej działalności, podmioty przetwarzające dane dla celów reklamy czy też dostawcy lub operatorzy świadczący usługi telekomunikacyjne lub internetowe lub usługi lokalizacyjne, a także podmioty świadczące usługi marketingowe. Jakkolwiek przepisy RODO nie definiują pojęcia „regularnego i systematycznego monitorowania” to jednak, jako przykłady takich działań można wskazać działania polegające na świadczeniu usług telekomunikacyjnych, obsłudze sieci telekomunikacyjnych, przekierowywaniu poczty elektronicznej, świadczeniu usług call center, usługi marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (kredytowego, ubezpieczeniowego, prania pieniędzy, zapobiegania wyłudzeniom), śledzenia lokalizacji np. przez aplikacje mobilne, pakiety usług lojalnościowych, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, monitoring wizyjny (usługi ochroniarskie) itp. Kolejną przesłanką obligującą do wyznaczenia IOD w tej grupie podmiotów jest to, aby operacje przetwarzania były główną działalnością Administratora. Wskazówkę, jak w tym przypadku należy rozumieć pojęcie „główna działalność” można znaleźć w pkt 97 motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak w świetle wyjaśnień zawartych w tym motywie „w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością Administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”. Główna działalnością będzie, zatem kluczowa z punktu widzenia osiągnięcia celów działalność Administratora, z tym, że nie należy tego interpretować w oderwaniu od działalności w zakresie przetwarzania danych nierozerwalnie związaną z działalnością Administratora. Jako obraz takiej działalności można przytoczyć, za stanowiskiem Grupy Roboczej Art.29 DS.. Ochrony Danych, przykład firmy świadczącej usługi ochrony mienia, która prowadzi monitoring w różnych obiektach handlowych, domach prywatnych oraz przestrzeni publicznej. Działalnością główną firmy ochroniarskiej nie jest przecież przetwarzanie danych, lecz świadczenie usług ochroniarskich. Natomiast bezpośrednio z tym związane jest przetwarzanie danych, co powoduje, że firma taka ma obowiązek powołać IOD.

Spółki kapitałowe. Jak uniknąć kosztownych błędów - Poradnik Gazety Prawnej
Autopromocja

Spółki kapitałowe
Jak uniknąć kosztownych błędów

Sprawdź

- podmioty, których główny przedmiot działalności polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – vide art. 9 ust.1 RODO (tytułem przekładu można tu wskazać dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia lub orientacji seksualnej danej osoby) oraz danych osobowych dotyczących wyroków skazujących lub naruszeń prawa. Przepisy RODO nie definiują pojęcia przetwarzania danych osobowych na „dużą skalę” Wydaje się, że nie jest po prostu możliwe wskazanie konkretnej wartości, czy też rozmiaru zbioru danych, czy też liczby osób, których dane dotyczą, która mogłaby posłużyć za przyjęcie, że w danym przypadku mamy do czynienia przypadkiem tzw. „dużej skali.” Pewną wskazówką w tym zakresie może być Pkt 91 Motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak zgodnie z treścią tego motywu do operacji o „dużej skali” można zaliczyć takie operacje przetwarzania, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpływać na dużą liczbę osób, których to dane dotyczą, oraz które mogą powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Z drugiej strony w dalszej części powołanego motywu przytaczany jest też skrajny przykład operacji, które nie stanowią przetwarzania na dużą skalę. Zgodnie z tym przykładem nie będzie traktowane, jako przetwarzanie na duża skalę przetwarzanie danych nawet wielu pacjentów przez jednego lekarza lub wielu klientów dokonywane przez jednego prawnika. Idąc tym tropem rozumowania można przyjąć, że np. podmiot prowadzący sieć aptek na terenie kraju będzie zobowiązany do powołania IOD (przetwarza, bowiem na dużą skalę szczególne kategorie danych, jakimi są dane dotyczące stanu zdrowia pacjentów zawarte na receptach), a farmaceuta, prowadzący jednoosobową aptekę, jakkolwiek też przetwarza szczególne kategorie danych, nie będzie już zobowiązany do powołania IOD, gdyż nie przetwarza tych danych „na dużą skalę.”

Polecamy: INFORLEX Ekspert

Polecamy: INFORLEX Biznes

W przypadku innych podmiotów jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD to jednak zaleca administratorom oraz podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD. Innymi słowy, jeśli administrator uważa, że nie należy do kategorii podmiotów zobowiązanych do wyznaczenia IOD, to w celu zapewniania przestrzegania zasady rozliczalności, powinien udokumentować w wewnętrznej procedurze brak takiego obowiązku.

W świetle postanowień RODO osoba powołana do pełnienia funkcji IOD może to być zarówno osobą zatrudnioną u administratora jak również podmiotem zewnętrznym wykonującym te zadania na podstawie umowy o świadczenie usług. Osoba taka, zgodnie z art. 37 ust.5 RODO powinna posiadać odpowiednie kwalifikacje zawodowe, a w szczególności wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych oraz praktyki w dziedzinie ochrony danych, która umożliwi mu wykonywanie zadań, o których mowa w art. 39 RODO (wykaz zadań IOD). Należy wskazać, że jest to jedynie minimalna lista obowiązków IOD, którą można w umowie z IOD rozszerzyć. Aby powołać IOD należy, zatem po pierwsze podjąć stosowną uchwałę(decyzję) wyznaczającą IOD, a po drugie, jeśli jest to podmiot zewnętrzny podpisać z osobą pełniącą funkcję IOD stosowaną umowę. Decyzję o powołaniu IOD podejmuje organ uprawniony do reprezentowania Administratora. Będzie to, zatem zarząd w przypadku spółek kapitałowych, wspólnicy uprawnieni do reprezentowania spółki, np. w przypadku spółek jawnych, komplementariusz w przypadku spółek komandytowych lub komandytowo akcyjnych lub właściciel, jeśli IOD powoływany jest przez osobę fizyczną prowadzącą działalność gospodarczą.

Rozliczamy najem. Przykłady, wypełnione druki
Autopromocja

Rozliczamy najem. Przykłady, wypełnione druki

Sprawdź

Należ też pamiętać, że administrator lub podmiot przetwarzający zobowiązani są opublikować dane kontaktowe IOD oraz zawiadomić o tym fakcie organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych). Niezależnie od tego wskazane jest podpisanie umowy na pełnienie funkcji IOD, która określać będzie prawa i obowiązki IOD a także jego wynagrodzenie za pełnienie funkcji IOD.

Należy pamiętać, ze osoba pełniąca funkcję IOD korzysta ze specjalnego statusu. Przykładowo IOD nie może między innymi otrzymywać instrukcji czy zaleceń dotyczących wykonywania przez niego zadań. Nie może też być odwołany ani karany przez Administratora ani podmiot przetwarzający za wypełnianie swoich obowiązków. Ponadto zgodnie z RODO osoba pełniąca funkcje IOD powinna bezpośrednio podlegać najwyższemu kierownictwu Administratora lub podmiotu przetwarzającego ( a więc zarządowi w przypadku spółek prawa handlowego lub innej osobie, która zgodnie z obowiązującymi przepisami pełni funkcje kierownika danej jednostki). Przepisy RODO określają zadania IOD związane z przestrzeganiem ochrony danych osobowych (art.39 RODO).

Zadania te w świetle przepisów RODO obejmują :

(i) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych, a także doradzanie im w tych sprawach,

(ii) monitorowanie przestrzegania przepisów RODO, innych przepisów o ochronie danych oraz polityki Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w procedurze przetwarzania danych oraz powiązane z tym audyty,

(iii) udzielanie zaleceń co do oceny skutków dla ochrony danych oraz ich monitorowania,

(iv) współpraca z organem nadzorczym,

(v) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz prowadzenie konsultacji we wszelkich innych spawach wynikających z przepisów RODO.

Tak, jak wspomniano powyżej jest to lista minimalna, którą w umowie z IOD można rozszerzyć (np. powierzyć IOD prowadzenie rejestru czynności). Na zakończenie należy podkreślić, że IOD, co do zasady, nie są osobiście odpowiedzialni za niezgodność przetwarzania z wymogami ochrony danych (RODO). Z przepisów RODO (art.24 ust.1) jasno wynika, iż to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i wykazania zgodności przetwarzania danych z przepisami prawa (tzw. zasada rozliczalności).

Wojciech Ostrowski Radca prawny w Kancelarii Rachelski i Wspólnicy

Autopromocja

REKLAMA

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
QR Code
Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/10
Zeznanie PIT-37 za 2022 r. można złożyć w terminie do:
30 kwietnia 2023 r. (niedziela)
2 maja 2023 r. (wtorek)
4 maja 2023 r. (czwartek)
29 kwietnia 2023 r. (sobota)
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Kasowy PIT - projekt ustawy opublikowany
24 kwi 2024

Projekt ustawy o kasowym PIT został opublikowany. Od kiedy wchodzi w życie? Dla kogo jest kasowy PIT? Co to jest i na czym polega?
Obligacje skarbowe [maj 2024 r.] - oprocentowanie i oferta obligacji oszczędnościowych (detalicznych)
24 kwi 2024

Ministerstwo Finansów w komunikacie z 24 kwietnia 2024 r. poinformowało o oprocentowaniu i ofercie obligacji oszczędnościowych Skarbu Państwa nowych emisji, które będą sprzedawane w maju 2024 roku. Oprocentowanie i marże tych obligacji nie zmieniły się w porównaniu do oferowanych w kwietniu br. Od 25 kwietnia można nabywać nową emisję obligacji skarbowych w drodze zamiany.
Kasowy PIT dla przedsiębiorców z przychodami do 250 tys. euro od 2025 roku. I tylko do transakcji fakturowanych [projekt ustawy]
24 kwi 2024

Ministerstwo Finansów przygotowało i opublikowało 24 kwietnia 2024 r. projekt nowelizacji ustawy o podatku dochodowym od osób fizycznych (PIT) oraz ustawy o zryczałtowanym podatku dochodowym od niektórych przychodów osiąganych przez osoby fizyczne. Ta nowelizacja przewiduje wprowadzenie kasowej metody rozliczania podatku dochodowego. Z tej metody będą mogli skorzystać przedsiębiorcy, którzy rozpoczynają działalność, a także ci przedsiębiorcy, których przychody w roku poprzednim nie przekraczały 250 tys. euro.
Coraz więcej kontroli firm logistycznych. Urzędy celno-skarbowe sprawdzają pozwolenia na uproszczenia celne
24 kwi 2024

Urzędy celno-skarbowe zintensyfikowały kontrole firm logistycznych. Chodzi o monitoring pozwoleń na uproszczenia celne, szczególnie tych wydanych w czasie pandemii. Jeśli organy celno-skarbowe natrafią na jakiekolwiek uchybienia, to może dojść do zawieszenia pozwolenia, a nawet jego odebrania.
Ostatnie dni na złożenia PIT-a. W pośpiechu nie daj szansy cyberoszustowi! Podstawowe zasady bezpieczeństwa
24 kwi 2024

Obecnie już prawie co drugi Polak (49%) przyznaje, że otrzymuje podejrzane wiadomości drogą mailową. Tak wynika z najnowszego raportu SMSAPI „Bezpieczeństwo Cyfrowe Polaków 2024”. Ok. 20% Polaków niestety klika w linki zawarte w mailu, gdy wiadomość dotyczy ważnych spraw. Jak zauważa Leszek Tasiemski, VP w firmie WithSecure – ostatnie dni składania zeznań podatkowych to idealna okazja dla oszustów do przeprowadzenia ataków phishingowych i polowania na nieuważnych podatników.
Czy przepis podatkowy napisany w złej wierze nie rodzi normy prawnej? Dlaczego podatnicy unikają stosowania takich przepisów?
23 kwi 2024

Podatnicy prowadzący działalność gospodarczą często kontestują obowiązki nakładane na podstawie przepisów podatkowych. Nigdy wcześniej nie spotkałem się z tym w takim natężeniu – może na przełomie lat osiemdziesiątych i dziewięćdziesiątych XX wieku, gdy wprowadzono drakońskie przepisy tzw. popiwku – pisze prof. Witold Modzelewski. Dlaczego tak się dzieje?
Szef KAS: Fundacje rodzinne nie są środkiem do unikania opodatkowania
23 kwi 2024

Szef Krajowej Administracji skarbowej wydał opinię zabezpieczającą w której potwierdził, że utworzenie fundacji, wniesienie do niej akcji i następnie ich sprzedaż nie będzie tzw. „unikaniem opodatkowania”, mimo wysokich korzyści podatkowych. Opinię zabezpieczające wydaje się właśnie w celu rozstrzygnięcia, czy proponowana czynność tym unikaniem by była.
Przedmiotowa opinia została wydana na wniosek przedsiębiorcy, który planuje utworzenie rodzinnej platformy inwestycyjnej przy wykorzystaniu Fundacji poprzez wniesienie do niej m.in. akcji spółki. Natomiast spółka jest właścicielem spółek zależnych, które uzyskują przychody prowadząc działalność operacyjną w różnych krajach świata. 
Laptopy otrzymane przez uczniów i nauczycieli zwolnione z PIT - rozporządzenie MF
23 kwi 2024

Laptopy oraz bony na laptopy, otrzymane w 2023 r. przez uczniów i nauczycieli, są zwolnione z PIT – wynika z rozporządzenia MF, które weszło w życie we wtorek 23 kwietnia 2024 r.
Kontyngent możliwym lekarstwem na cła
23 kwi 2024

Każdy towar o statusie celnym nieunijnym w momencie wjazdu na terytorium UE obciążony jest długiem celnym. Dług ten wynika z unijnych przepisów prawa. Uzależniony jest od kodu taryfy celnej, wartości celnej towaru, pochodzenia oraz zastosowanej waluty dla danej transakcji. Unia Europejska stoi na straży konkurencyjności swoich rodzimych przedsiębiorstw, a to oznacza, że ma wielorakie narzędzia do swojej dyspozycji, aby zapewnić bezpieczne funkcjonowanie naszym przedsiębiorcom. Jednym z takich narzędzi jest cło ochronne (odwetowe), którego celem jest ochrona produkcji unijnej przed konkurencją z krajów trzecich. Często cło to występuje z cłem antydumpingowym, którego z kolei celem jest wyrównanie cen rynkowych towaru sprowadzanego z krajów trzecich z towarem produkowanym w UE.
Rozliczenie składki zdrowotnej za 2023 rok - termin w 2024 roku, zasady [komunikat ZUS]. Jak wypełnić i do kiedy złożyć ZUS DRA lub ZUS RCA?
23 kwi 2024

Zakład Ubezpieczeń Społecznych przypomina, że część płatników składek - osób prowadzących pozarolniczą działalność - musi przekazać do ZUS roczne rozliczenie składki na ubezpieczenie zdrowotne za rok 2023. W dniu 20 maja 2024 r. mija termin na złożenie ZUS DRA lub ZUS RCA za kwiecień 2024 r., w którym uwzględnione będzie to rozliczenie.

REKLAMA