REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

REKLAMA

REKLAMA

Czy w związku z wejściem w życie przepisów RODO masz obowiązek powołać Inspektora Ochrony Danych w swojej firmie? Wyjaśnia Wojciech Ostrowski, radca prawny w Kancelarii Rachelski i Wspólnicy.

Przepisy Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE ( w dalszej części zwane RODO) wprowadzają w art. 5 ust.1 RODO określone zasady przetwarzania danych osobowych. Do tzw. materialnych zasad przetwarzania danych osobowych RODO zalicza:

REKLAMA

1) zasadę legalności, rzetelności i przejrzystości przetwarzania (tzw. zgodność przetwarzania z prawem);

2) zasadę celowości (ograniczania celu, przetwarzanie tylko w takim celu, jaki został podany przy ich pozyskiwaniu);

3) zasadę minimalizacji danych (tj. adekwatność, proporcjonalność, zbieramy tylko takie dane, które są nam potrzebne, nie zbieramy danych na wyrost), 4) zasadę prawidłowości (poprawności);

5) zasadę ograniczenia czasowego (czasowość, nie możemy przetwarzać danych w sposób nieograniczony czasowo);

Dalszy ciąg materiału pod wideo

6) zasadę odpowiedniego bezpieczeństwa (integralności i poufności danych).

Niezależnie od tego RODO wprowadza jeszcze jedną generalną zasadę (tzw. zasadę formalną) a mianowicie taką, że ciężar udowodnienia,  przy przetwarzaniu danych osobowych Administrator ( a więc Twoja firma) stosuje się do wymienionych powyżej zasad przetwarzania danych spoczywa na nas samych (art.5 ust.1 RODO).

Jest to tzw. wymóg rozliczalności. Oznacza on, ni mniej ni więcej tylko to, że mamy nie tylko obowiązek stosować się do w/w 6 zasad materialnych, lecz także, w razie kontroli, wykazać, że podejmowane przez nas działania i stosowane metody są zgodne z RODO, a co więcej są skuteczne.

W świetle RODO, instytucja Inspektora Ochrony Danych (dalej IOD) jest tym elementem, który ma wspomagać Administratora w przestrzeganiu wspomnianej zasady rozliczalności.

Czy jednak wszyscy Administratorzy mają obowiązek powołania IOD?

Jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD w każdym podmiocie, to jednak ze względu na wspomnianą powyżej zasadę rozliczalności, niejednokrotnie korzystne dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Z drugiej jednak strony, w świetle przepisów RODO, niektórzy administratorzy i przetwarzający dane mają obowiązek wyznaczenia IOD. Mówiąc ogólnie możemy rozróżnić dwie kategorie podmiotów, a więc te, które co do zasady nie mają obowiązku powołania IOD oraz takie, które obligatoryjnie muszą wyznaczyć IOD.

Zgodnie art. 37 RODO obowiązek wyznaczenia IOD mają następujący administratorzy i podmioty przetwarzające dane:

REKLAMA

- organy i podmioty publiczne (do takich podmiotów najczęściej zalicza się organy władzy państwowej, lokalne władze samorządowe, instytucje publiczne, jednostki wykonujące powierzone zadania publiczne takie jak np. transport publiczny, dostarczanie energii lub wody, świadczenie usług w zakresie infrastruktury drogowej, radiofonii i telewizji publicznej lub inne przedsiębiorstwa użyteczności publicznej),

REKLAMA

- podmioty, których główny przedmiot działalności polega na operacjach przetwarzania, które ze względu na swoją dużą skalę, charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Do tej kategorii podmiotów, które będą zobowiązane do wyznaczenia IOD można tytułem przykładu wymienić: podmioty świadczące sprzedaż produktów przez internet, szpitale w zakresie przetwarzania danych pacjentów, banki przetwarzające dane swoich klientów albo instytucje ubezpieczeniowe, faktoringowe w zakresie prowadzonej działalności, podmioty przetwarzające dane dla celów reklamy czy też dostawcy lub operatorzy świadczący usługi telekomunikacyjne lub internetowe lub usługi lokalizacyjne, a także podmioty świadczące usługi marketingowe. Jakkolwiek przepisy RODO nie definiują pojęcia „regularnego i systematycznego monitorowania” to jednak, jako przykłady takich działań można wskazać działania polegające na świadczeniu usług telekomunikacyjnych, obsłudze sieci telekomunikacyjnych, przekierowywaniu poczty elektronicznej, świadczeniu usług call center, usługi marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (kredytowego, ubezpieczeniowego, prania pieniędzy, zapobiegania wyłudzeniom), śledzenia lokalizacji np. przez aplikacje mobilne, pakiety usług lojalnościowych, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, monitoring wizyjny (usługi ochroniarskie) itp. Kolejną przesłanką obligującą do wyznaczenia IOD w tej grupie podmiotów jest to, aby operacje przetwarzania były główną działalnością Administratora. Wskazówkę, jak w tym przypadku należy rozumieć pojęcie „główna działalność” można znaleźć w pkt 97 motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak w świetle wyjaśnień zawartych w tym motywie „w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością Administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”. Główna działalnością będzie, zatem kluczowa z punktu widzenia osiągnięcia celów działalność Administratora, z tym, że nie należy tego interpretować w oderwaniu od działalności w zakresie przetwarzania danych nierozerwalnie związaną z działalnością Administratora. Jako obraz takiej działalności można przytoczyć, za stanowiskiem Grupy Roboczej Art.29 DS.. Ochrony Danych, przykład firmy świadczącej usługi ochrony mienia, która prowadzi monitoring w różnych obiektach handlowych, domach prywatnych oraz przestrzeni publicznej. Działalnością główną firmy ochroniarskiej nie jest przecież przetwarzanie danych, lecz świadczenie usług ochroniarskich. Natomiast bezpośrednio z tym związane jest przetwarzanie danych, co powoduje, że firma taka ma obowiązek powołać IOD.

- podmioty, których główny przedmiot działalności polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – vide art. 9 ust.1 RODO (tytułem przekładu można tu wskazać dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia lub orientacji seksualnej danej osoby) oraz danych osobowych dotyczących wyroków skazujących lub naruszeń prawa. Przepisy RODO nie definiują pojęcia przetwarzania danych osobowych na „dużą skalę” Wydaje się, że nie jest po prostu możliwe wskazanie konkretnej wartości, czy też rozmiaru zbioru danych, czy też liczby osób, których dane dotyczą, która mogłaby posłużyć za przyjęcie, że w danym przypadku mamy do czynienia przypadkiem tzw. „dużej skali.” Pewną wskazówką w tym zakresie może być Pkt 91 Motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak zgodnie z treścią tego motywu do operacji o „dużej skali” można zaliczyć takie operacje przetwarzania, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpływać na dużą liczbę osób, których to dane dotyczą, oraz które mogą powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Z drugiej strony w dalszej części powołanego motywu przytaczany jest też skrajny przykład operacji, które nie stanowią przetwarzania na dużą skalę. Zgodnie z tym przykładem nie będzie traktowane, jako przetwarzanie na duża skalę przetwarzanie danych nawet wielu pacjentów przez jednego lekarza lub wielu klientów dokonywane przez jednego prawnika. Idąc tym tropem rozumowania można przyjąć, że np. podmiot prowadzący sieć aptek na terenie kraju będzie zobowiązany do powołania IOD (przetwarza, bowiem na dużą skalę szczególne kategorie danych, jakimi są dane dotyczące stanu zdrowia pacjentów zawarte na receptach), a farmaceuta, prowadzący jednoosobową aptekę, jakkolwiek też przetwarza szczególne kategorie danych, nie będzie już zobowiązany do powołania IOD, gdyż nie przetwarza tych danych „na dużą skalę.”

Polecamy: INFORLEX Ekspert

Polecamy: INFORLEX Biznes

W przypadku innych podmiotów jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD to jednak zaleca administratorom oraz podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD. Innymi słowy, jeśli administrator uważa, że nie należy do kategorii podmiotów zobowiązanych do wyznaczenia IOD, to w celu zapewniania przestrzegania zasady rozliczalności, powinien udokumentować w wewnętrznej procedurze brak takiego obowiązku.

W świetle postanowień RODO osoba powołana do pełnienia funkcji IOD może to być zarówno osobą zatrudnioną u administratora jak również podmiotem zewnętrznym wykonującym te zadania na podstawie umowy o świadczenie usług. Osoba taka, zgodnie z art. 37 ust.5 RODO powinna posiadać odpowiednie kwalifikacje zawodowe, a w szczególności wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych oraz praktyki w dziedzinie ochrony danych, która umożliwi mu wykonywanie zadań, o których mowa w art. 39 RODO (wykaz zadań IOD). Należy wskazać, że jest to jedynie minimalna lista obowiązków IOD, którą można w umowie z IOD rozszerzyć. Aby powołać IOD należy, zatem po pierwsze podjąć stosowną uchwałę(decyzję) wyznaczającą IOD, a po drugie, jeśli jest to podmiot zewnętrzny podpisać z osobą pełniącą funkcję IOD stosowaną umowę. Decyzję o powołaniu IOD podejmuje organ uprawniony do reprezentowania Administratora. Będzie to, zatem zarząd w przypadku spółek kapitałowych, wspólnicy uprawnieni do reprezentowania spółki, np. w przypadku spółek jawnych, komplementariusz w przypadku spółek komandytowych lub komandytowo akcyjnych lub właściciel, jeśli IOD powoływany jest przez osobę fizyczną prowadzącą działalność gospodarczą.

Należ też pamiętać, że administrator lub podmiot przetwarzający zobowiązani są opublikować dane kontaktowe IOD oraz zawiadomić o tym fakcie organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych). Niezależnie od tego wskazane jest podpisanie umowy na pełnienie funkcji IOD, która określać będzie prawa i obowiązki IOD a także jego wynagrodzenie za pełnienie funkcji IOD.


Należy pamiętać, ze osoba pełniąca funkcję IOD korzysta ze specjalnego statusu. Przykładowo IOD nie może między innymi otrzymywać instrukcji czy zaleceń dotyczących wykonywania przez niego zadań. Nie może też być odwołany ani karany przez Administratora ani podmiot przetwarzający za wypełnianie swoich obowiązków. Ponadto zgodnie z RODO osoba pełniąca funkcje IOD powinna bezpośrednio podlegać najwyższemu kierownictwu Administratora lub podmiotu przetwarzającego ( a więc zarządowi w przypadku spółek prawa handlowego lub innej osobie, która zgodnie z obowiązującymi przepisami pełni funkcje kierownika danej jednostki). Przepisy RODO określają zadania IOD związane z przestrzeganiem ochrony danych osobowych (art.39 RODO).

Zadania te w świetle przepisów RODO obejmują :

(i) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych, a także doradzanie im w tych sprawach,

(ii) monitorowanie przestrzegania przepisów RODO, innych przepisów o ochronie danych oraz polityki Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w procedurze przetwarzania danych oraz powiązane z tym audyty,

(iii) udzielanie zaleceń co do oceny skutków dla ochrony danych oraz ich monitorowania,

(iv) współpraca z organem nadzorczym,

(v) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz prowadzenie konsultacji we wszelkich innych spawach wynikających z przepisów RODO.

Tak, jak wspomniano powyżej jest to lista minimalna, którą w umowie z IOD można rozszerzyć (np. powierzyć IOD prowadzenie rejestru czynności). Na zakończenie należy podkreślić, że IOD, co do zasady, nie są osobiście odpowiedzialni za niezgodność przetwarzania z wymogami ochrony danych (RODO). Z przepisów RODO (art.24 ust.1) jasno wynika, iż to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i wykazania zgodności przetwarzania danych z przepisami prawa (tzw. zasada rozliczalności).

Wojciech Ostrowski Radca prawny w Kancelarii Rachelski i Wspólnicy

Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
KSeF 2.0: firmy będą miały tylko 4 miesiące na testy. Co trzeba zrobić już teraz?

W czerwcu 2025 r. – zgodnie z harmonogramem – Ministerstwo Finansów udostępniło dokumentację interfejsu API KSeF 2.0. Jest to jednak materiał dla integratorów systemów i dostawców oprogramowania. Firmy wciąż czekają na udostępnienie środowiska testowego, które zaplanowano na koniec września. Konkretne testy będą więc mogły zacząć się dopiero w październiku. Tymczasem obowiązek korzystania z Krajowego Systemu e-Faktur dla części firm wchodzi już w lutym – oznacza to niewiele czasu na przygotowanie.

Projekt ustawy wdrażającej obowiązkowy KSeF po pierwszym czytaniu w Sejmie. Co się zmienia a co pozostaje bez zmian [komentarz eksperta]

W dniu 9 lipca 2025 r., Sejm przeprowadził pierwsze czytanie i skierował do prac w komisji finansów projekt ustawy zakładającej wdrożenie obowiązkowego Krajowego Systemu e-Faktur (KSeF). Wszystkie kluby i koła poselskie zapowiedziały dalsze prace nad projektem. Prace legislacyjne wchodzą w końcową fazę. Z coraz większą pewnością możemy więc stwierdzić, że obowiązkowy KSeF będzie wdrażany w dwóch etapach - od 1 lutego 2026 i od 1 kwietnia 2026 r.

Podatek u źródła 2025: Objaśnienia podatkowe ministra finansów dot. statusu rzeczywistego właściciela. Praktyczne szanse i nieoczywiste zagrożenia

Po latach oczekiwań i licznych postulatach ze strony środowisk doradczych oraz biznesowych, Ministerstwo Finansów opublikowało długo zapowiadane objaśnienia dotyczące statusu rzeczywistego właściciela w kontekście podatku u źródła (WHT). Teraz nadszedł czas, by bardziej szczegółowo przyjrzeć się poszczególnym zagadnieniom. Dokument z 3 lipca 2025 r., opublikowany na stronie MF 9 lipca, ma na celu rozwianie wieloletnich wątpliwości dotyczących stosowania klauzuli „beneficial owner”. Choć sam fakt publikacji należy ocenić jako krok w stronę większej przejrzystości i przewidywalności, nie wszystkie zapisy spełniły oczekiwania.

Polski podatek cyfrowy jeszcze w tym roku? Rząd nie ogląda się na Brukselę

Choć Komisja Europejska wycofała się z planów nałożenia podatku cyfrowego, Polska idzie własną drogą. Minister cyfryzacji Krzysztof Gawkowski zapowiada, że projekt ustawy będzie gotowy do końca roku.

REKLAMA

KSeF 2026: koniec z papierowymi fakturami, zmiany w obiegu dokumentów i obsłudze procesu sprzedaży w firmie

W przyszłym roku w Polsce zostanie uruchomiony obowiązkowy system fakturowania za pomocą Krajowego Systemu e-Faktur (KSeF). Obowiązek ten wejdzie w życie na początku 2026 roku i wynika z procedowanego w Parlamencie projektu ustawy o zmianie ustawy o podatku od towarów i usług. Aktualny postęp prac legislacyjnych nad projektem, oznaczonym numerem druku 1407, można śledzić na stronach Sejmu.

Składki ZUS dla małych firm w 2025 roku - preferencje: ulga na start, mały ZUS plus i wakacje składkowe

Ulga na start, preferencyjne składki, czy „Mały ZUS plus”, a także wakacje składkowe – to propozycje wsparcia dla małych przedsiębiorców. Korzyści to możliwość opłacania niższych składek lub ich brak. Warto też zwrócić uwagę na konsekwencje z tym związane. ZUS tłumaczy kto i z jakich ulg może skorzystać oraz jakie są zagrożenia z tym związane.

Zwracasz pracownikom wydatki na taksówki – czy musisz pobrać zaliczkę na podatek PIT? Najnowsze wyjaśnienia fiskusa (taksówki w podróży służbowej i w czasie wyjścia służbowego)

Pracodawcy mają wątpliwości, czy w przypadku zwracania pracownikom wydatków na taksówki (kiedy to pracownicy wykonują obowiązki służbowe – zarówno w podróży służbowej jak i w czasie tzw. wyjścia służbowego), trzeba od tych kwot pobierać zaliczki na podatek dochodowy? Pod koniec czerwca 2025 r. wyjaśnił to dokładnie Dyrektor Krajowej Informacji Skarbowej. Kilka miesięcy wcześniej odpowiedzi na to pytanie udzielił Minister Finansów.

Minister Majewska chce uproszczenia ZUS dla firm – konkretne propozycje zmian już na stole

Minister Agnieszka Majewska zaproponowała szereg zmian w przepisach dotyczących ubezpieczeń społecznych, które mają ułatwić życie mikro, małym i średnim przedsiębiorcom. Wśród postulatów znalazły się m.in. podniesienie limitu Małego ZUS Plus, likwidacja składki rentowej dla emerytów-przedsiębiorców, uproszczenia przy wakacjach składkowych oraz ułatwienia dla łączących biznes z rodzicielstwem.

REKLAMA

Miliardy z KPO usprawniają kolejową infrastrukturę

Prawie 11,5 mld zł warte są inwestycje realizowane ze środków Krajowego Planu Odbudowy i Zwiększenia Odporności (KPO) przez PKP Polskie Linie Kolejowe S.A. Zarządzająca infrastrukturą kolejową spółka, która jest największym beneficjentem KPO, zawarła już ponad 120 umów z wykonawcami na kwotę 8 mld zł. Przeszło 160 prowadzonych zadań ma przyczynić się do zwiększenia prędkości pociągów, a także zwiększenia przepustowości tras oraz usprawnienia zarządzania ruchem kolejowym. Inwestycje poprawiają bezpieczeństwo ruchu i komfort obsługi podróżnych. Na stacjach i przystankach budowany jest nowoczesny system informacji pasażerskiej, a ich infrastruktura - dopasowywana do potrzeb osób o ograniczonej mobilności.

Darowizna od brata ponad limit 36 120 zł. Jakie warunki muszą zostać spełnione, aby nie stracić prawa do zwolnienia podatkowego?

Co robić gdy darowizna przekazana przez brata przekracza limit kwoty wolnej w wysokości 36 120 zł? Czy podlegała zwolnieniu od podatku od spadków i darowizn, pomimo że jest dokonywana z majątku wspólnego brata i jego małżonki? Jakie warunki muszą zostać spełnione, żeby nie stracić prawa do zwolnienia?

REKLAMA