REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Obrót gospodarczy » Działalność gospodarcza » Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
29 sierpnia 2018, 11:23
Rachelski i Wspólnicy Kancelaria Prawna
Rachelski i Wspólnicy Kancelaria Prawna
Uwalniamy od problemów
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

REKLAMA

REKLAMA

Czy w związku z wejściem w życie przepisów RODO masz obowiązek powołać Inspektora Ochrony Danych w swojej firmie? Wyjaśnia Wojciech Ostrowski, radca prawny w Kancelarii Rachelski i Wspólnicy.

Przepisy Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE ( w dalszej części zwane RODO) wprowadzają w art. 5 ust.1 RODO określone zasady przetwarzania danych osobowych. Do tzw. materialnych zasad przetwarzania danych osobowych RODO zalicza:

REKLAMA

Autopromocja
Komplet Podatki 2025 - wiedza dla księgowych i biur rachunkowych
PIT, CIT, Ryczałt 2025. Podatki część 1. Ponad 100 zmian
VAT 2025

1) zasadę legalności, rzetelności i przejrzystości przetwarzania (tzw. zgodność przetwarzania z prawem);

2) zasadę celowości (ograniczania celu, przetwarzanie tylko w takim celu, jaki został podany przy ich pozyskiwaniu);

3) zasadę minimalizacji danych (tj. adekwatność, proporcjonalność, zbieramy tylko takie dane, które są nam potrzebne, nie zbieramy danych na wyrost), 4) zasadę prawidłowości (poprawności);

Nowelizacja VAT 2025. Praktyczny webinar INFORAKADEMII
Autopromocja

Nowelizacja VAT 2025.
Praktyczny webinar INFORAKADEMII

Sprawdź

5) zasadę ograniczenia czasowego (czasowość, nie możemy przetwarzać danych w sposób nieograniczony czasowo);

Dalszy ciąg materiału pod wideo

6) zasadę odpowiedniego bezpieczeństwa (integralności i poufności danych).

Niezależnie od tego RODO wprowadza jeszcze jedną generalną zasadę (tzw. zasadę formalną) a mianowicie taką, że ciężar udowodnienia,  przy przetwarzaniu danych osobowych Administrator ( a więc Twoja firma) stosuje się do wymienionych powyżej zasad przetwarzania danych spoczywa na nas samych (art.5 ust.1 RODO).

Sprawozdanie finansowe 2024. Przykłady, schematy, tabele, wzory
Autopromocja

Sprawozdanie finansowe 2024
Przykłady, schematy, tabele, wzory

Sprawdź

Jest to tzw. wymóg rozliczalności. Oznacza on, ni mniej ni więcej tylko to, że mamy nie tylko obowiązek stosować się do w/w 6 zasad materialnych, lecz także, w razie kontroli, wykazać, że podejmowane przez nas działania i stosowane metody są zgodne z RODO, a co więcej są skuteczne.

W świetle RODO, instytucja Inspektora Ochrony Danych (dalej IOD) jest tym elementem, który ma wspomagać Administratora w przestrzeganiu wspomnianej zasady rozliczalności.

Jak przygotować się do zmian 2025. Podatki. Rachunkowość. ZUS
Autopromocja

Jak przygotować się do zmian 2025.
Podatki. Rachunkowość. ZUS

Sprawdź

Zobacz również:

Czy jednak wszyscy Administratorzy mają obowiązek powołania IOD?

Jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD w każdym podmiocie, to jednak ze względu na wspomnianą powyżej zasadę rozliczalności, niejednokrotnie korzystne dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Z drugiej jednak strony, w świetle przepisów RODO, niektórzy administratorzy i przetwarzający dane mają obowiązek wyznaczenia IOD. Mówiąc ogólnie możemy rozróżnić dwie kategorie podmiotów, a więc te, które co do zasady nie mają obowiązku powołania IOD oraz takie, które obligatoryjnie muszą wyznaczyć IOD.

Zgodnie art. 37 RODO obowiązek wyznaczenia IOD mają następujący administratorzy i podmioty przetwarzające dane:

- organy i podmioty publiczne (do takich podmiotów najczęściej zalicza się organy władzy państwowej, lokalne władze samorządowe, instytucje publiczne, jednostki wykonujące powierzone zadania publiczne takie jak np. transport publiczny, dostarczanie energii lub wody, świadczenie usług w zakresie infrastruktury drogowej, radiofonii i telewizji publicznej lub inne przedsiębiorstwa użyteczności publicznej),

REKLAMA

- podmioty, których główny przedmiot działalności polega na operacjach przetwarzania, które ze względu na swoją dużą skalę, charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Do tej kategorii podmiotów, które będą zobowiązane do wyznaczenia IOD można tytułem przykładu wymienić: podmioty świadczące sprzedaż produktów przez internet, szpitale w zakresie przetwarzania danych pacjentów, banki przetwarzające dane swoich klientów albo instytucje ubezpieczeniowe, faktoringowe w zakresie prowadzonej działalności, podmioty przetwarzające dane dla celów reklamy czy też dostawcy lub operatorzy świadczący usługi telekomunikacyjne lub internetowe lub usługi lokalizacyjne, a także podmioty świadczące usługi marketingowe. Jakkolwiek przepisy RODO nie definiują pojęcia „regularnego i systematycznego monitorowania” to jednak, jako przykłady takich działań można wskazać działania polegające na świadczeniu usług telekomunikacyjnych, obsłudze sieci telekomunikacyjnych, przekierowywaniu poczty elektronicznej, świadczeniu usług call center, usługi marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (kredytowego, ubezpieczeniowego, prania pieniędzy, zapobiegania wyłudzeniom), śledzenia lokalizacji np. przez aplikacje mobilne, pakiety usług lojalnościowych, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, monitoring wizyjny (usługi ochroniarskie) itp. Kolejną przesłanką obligującą do wyznaczenia IOD w tej grupie podmiotów jest to, aby operacje przetwarzania były główną działalnością Administratora. Wskazówkę, jak w tym przypadku należy rozumieć pojęcie „główna działalność” można znaleźć w pkt 97 motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak w świetle wyjaśnień zawartych w tym motywie „w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością Administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”. Główna działalnością będzie, zatem kluczowa z punktu widzenia osiągnięcia celów działalność Administratora, z tym, że nie należy tego interpretować w oderwaniu od działalności w zakresie przetwarzania danych nierozerwalnie związaną z działalnością Administratora. Jako obraz takiej działalności można przytoczyć, za stanowiskiem Grupy Roboczej Art.29 DS.. Ochrony Danych, przykład firmy świadczącej usługi ochrony mienia, która prowadzi monitoring w różnych obiektach handlowych, domach prywatnych oraz przestrzeni publicznej. Działalnością główną firmy ochroniarskiej nie jest przecież przetwarzanie danych, lecz świadczenie usług ochroniarskich. Natomiast bezpośrednio z tym związane jest przetwarzanie danych, co powoduje, że firma taka ma obowiązek powołać IOD.

- podmioty, których główny przedmiot działalności polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – vide art. 9 ust.1 RODO (tytułem przekładu można tu wskazać dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia lub orientacji seksualnej danej osoby) oraz danych osobowych dotyczących wyroków skazujących lub naruszeń prawa. Przepisy RODO nie definiują pojęcia przetwarzania danych osobowych na „dużą skalę” Wydaje się, że nie jest po prostu możliwe wskazanie konkretnej wartości, czy też rozmiaru zbioru danych, czy też liczby osób, których dane dotyczą, która mogłaby posłużyć za przyjęcie, że w danym przypadku mamy do czynienia przypadkiem tzw. „dużej skali.” Pewną wskazówką w tym zakresie może być Pkt 91 Motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak zgodnie z treścią tego motywu do operacji o „dużej skali” można zaliczyć takie operacje przetwarzania, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpływać na dużą liczbę osób, których to dane dotyczą, oraz które mogą powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Z drugiej strony w dalszej części powołanego motywu przytaczany jest też skrajny przykład operacji, które nie stanowią przetwarzania na dużą skalę. Zgodnie z tym przykładem nie będzie traktowane, jako przetwarzanie na duża skalę przetwarzanie danych nawet wielu pacjentów przez jednego lekarza lub wielu klientów dokonywane przez jednego prawnika. Idąc tym tropem rozumowania można przyjąć, że np. podmiot prowadzący sieć aptek na terenie kraju będzie zobowiązany do powołania IOD (przetwarza, bowiem na dużą skalę szczególne kategorie danych, jakimi są dane dotyczące stanu zdrowia pacjentów zawarte na receptach), a farmaceuta, prowadzący jednoosobową aptekę, jakkolwiek też przetwarza szczególne kategorie danych, nie będzie już zobowiązany do powołania IOD, gdyż nie przetwarza tych danych „na dużą skalę.”

Polecamy: INFORLEX Ekspert

Polecamy: INFORLEX Biznes

W przypadku innych podmiotów jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD to jednak zaleca administratorom oraz podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD. Innymi słowy, jeśli administrator uważa, że nie należy do kategorii podmiotów zobowiązanych do wyznaczenia IOD, to w celu zapewniania przestrzegania zasady rozliczalności, powinien udokumentować w wewnętrznej procedurze brak takiego obowiązku.

W świetle postanowień RODO osoba powołana do pełnienia funkcji IOD może to być zarówno osobą zatrudnioną u administratora jak również podmiotem zewnętrznym wykonującym te zadania na podstawie umowy o świadczenie usług. Osoba taka, zgodnie z art. 37 ust.5 RODO powinna posiadać odpowiednie kwalifikacje zawodowe, a w szczególności wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych oraz praktyki w dziedzinie ochrony danych, która umożliwi mu wykonywanie zadań, o których mowa w art. 39 RODO (wykaz zadań IOD). Należy wskazać, że jest to jedynie minimalna lista obowiązków IOD, którą można w umowie z IOD rozszerzyć. Aby powołać IOD należy, zatem po pierwsze podjąć stosowną uchwałę(decyzję) wyznaczającą IOD, a po drugie, jeśli jest to podmiot zewnętrzny podpisać z osobą pełniącą funkcję IOD stosowaną umowę. Decyzję o powołaniu IOD podejmuje organ uprawniony do reprezentowania Administratora. Będzie to, zatem zarząd w przypadku spółek kapitałowych, wspólnicy uprawnieni do reprezentowania spółki, np. w przypadku spółek jawnych, komplementariusz w przypadku spółek komandytowych lub komandytowo akcyjnych lub właściciel, jeśli IOD powoływany jest przez osobę fizyczną prowadzącą działalność gospodarczą.

Należ też pamiętać, że administrator lub podmiot przetwarzający zobowiązani są opublikować dane kontaktowe IOD oraz zawiadomić o tym fakcie organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych). Niezależnie od tego wskazane jest podpisanie umowy na pełnienie funkcji IOD, która określać będzie prawa i obowiązki IOD a także jego wynagrodzenie za pełnienie funkcji IOD.

Należy pamiętać, ze osoba pełniąca funkcję IOD korzysta ze specjalnego statusu. Przykładowo IOD nie może między innymi otrzymywać instrukcji czy zaleceń dotyczących wykonywania przez niego zadań. Nie może też być odwołany ani karany przez Administratora ani podmiot przetwarzający za wypełnianie swoich obowiązków. Ponadto zgodnie z RODO osoba pełniąca funkcje IOD powinna bezpośrednio podlegać najwyższemu kierownictwu Administratora lub podmiotu przetwarzającego ( a więc zarządowi w przypadku spółek prawa handlowego lub innej osobie, która zgodnie z obowiązującymi przepisami pełni funkcje kierownika danej jednostki). Przepisy RODO określają zadania IOD związane z przestrzeganiem ochrony danych osobowych (art.39 RODO).

Zadania te w świetle przepisów RODO obejmują :

(i) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych, a także doradzanie im w tych sprawach,

(ii) monitorowanie przestrzegania przepisów RODO, innych przepisów o ochronie danych oraz polityki Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w procedurze przetwarzania danych oraz powiązane z tym audyty,

(iii) udzielanie zaleceń co do oceny skutków dla ochrony danych oraz ich monitorowania,

(iv) współpraca z organem nadzorczym,

(v) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz prowadzenie konsultacji we wszelkich innych spawach wynikających z przepisów RODO.

Tak, jak wspomniano powyżej jest to lista minimalna, którą w umowie z IOD można rozszerzyć (np. powierzyć IOD prowadzenie rejestru czynności). Na zakończenie należy podkreślić, że IOD, co do zasady, nie są osobiście odpowiedzialni za niezgodność przetwarzania z wymogami ochrony danych (RODO). Z przepisów RODO (art.24 ust.1) jasno wynika, iż to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i wykazania zgodności przetwarzania danych z przepisami prawa (tzw. zasada rozliczalności).

Wojciech Ostrowski Radca prawny w Kancelarii Rachelski i Wspólnicy

Autopromocja

REKLAMA

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:

REKLAMA

QR Code
Podatek PIT - część 2
certificate
Jak zdobyć Certyfikat:
  • Czytaj artykuły
  • Rozwiązuj testy
  • Zdobądź certyfikat
1/9
Są kosztem uzyskania przychodu:
koszty reprezentacji, w szczególności poniesione na usługi gastronomiczne, zakup żywności oraz napojów, w tym alkoholowych
udzielone pożyczki, w tym stracone pożyczki
wydatki na wystrój wnętrza biurowego nie będące wydatkami reprezentacyjnymi
wpłaty dokonywane do pracowniczych planów kapitałowych, o których mowa w ustawie o pracowniczych planach kapitałowych – od nagród i premii wypłaconych z dochodu po opodatkowaniu podatkiem dochodowym
Następne
Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Pracownik może czasem nie wykonywać pracy i zachować prawo do wynagrodzenia. W jakich przypadkach?
17 sty 2025

Wynagrodzenie jest – co do zasady - świadczeniem przysługującym w zamian za świadczoną przez pracownika pracę (czyli wynagrodzenie przysługuje za pracę wykonaną). Za czas niewykonywania pracy pracownik ma prawo do wynagrodzenia, jeżeli wynika to z przepisów prawa pracy.
Zmiana zasad wysyłania pocztą pism (urzędowych, podatkowych, sądowych) z zachowaniem terminu. Łatwiej będzie też uzyskać oprocentowanie nadpłat
17 sty 2025

Do Sejmu trafił już rządowy projekt nowelizacji Ordynacji podatkowej i kilku innych ustaw, który ma na celu dostosowania polskiego prawa do dwóch wyroków Trybunału Sprawiedliwości Unii Europejskiej (TSUE). Nowe przepisy przewidują, że m.in. w procedurze podatkowej, administracyjnej, cywilnej, można będzie nadać pismo (z zachowaniem terminu) do urzędu u dowolnego operatora pocztowego, a nie jak do tej pory tylko za pośrednictwem Poczty Polskiej. Zmienione omawianą nowelizacją przepisy zapewnią też oprocentowanie nadpłat powstałych w wyniku orzeczeń TSUE lub TK za okres od dnia powstania nadpłaty do dnia jej zwrotu, niezależnie od czasu złożenia wniosku o zwrot nadpłaty.
Bałagan w dokumentach firmy? Sprawdź, jak skutecznie nad nimi zapanować
17 sty 2025

Papierowy bałagan w dokumentacji firmowej. Dlaczego tradycyjne przechowywanie dokumentów sprawia tyle problemów? Co musisz wiedzieć, aby to zmienić?
Ile wyniesie rata kredytu po obniżce stóp procentowych o 0,5 pp, 0,75 pp, 1 pp.? Jak wzrośnie zdolność kredytowa? Stopy NBP spadną dopiero w II połowie 2025 r.?
17 sty 2025

Rada Polityki Pieniężnej na posiedzeniu w dniach 15-16 stycznia 2024 r. utrzymała wszystkie stopy procentowe NBP na niezmienionym poziomie. RPP nie zmieniła poziomu stóp procentowych w styczniu 2025 r. Rankomat.pl zwraca jednak uwagę, że jest szansa na to, że w 2025 roku (raczej w II połowie) stopy spadną o 0,75 p.p. (punkt procentowy). To wywołałoby spadek raty przeciętnego kredytu o 196 zł i wzrost zdolności kredytowej. Okazuje się, że bankach obniżki już się zaczęły i to nie tylko w przypadku lokat, ale również kredytów. Jak wynika z danych NBP, średnie oprocentowanie lokat założonych w listopadzie (najnowsze dostępne dane) spadło poniżej 4% po raz pierwszy od maja 2022 r. Średnie oprocentowanie kredytów hipotecznych również było najniższe od maja 2022 r. i wyniosło 7,35%. Zauważalnie staniały nawet kredyty konsumpcyjne, których RRSO po raz pierwszy od grudnia 2021 r. spadło poniżej 13%.

REKLAMA

E-akta osobowe pracowników: co muszą zawierać i jak je prowadzić?
16 sty 2025

Elektroniczna forma akt osobowych, czyli e-akta, staje się coraz bardziej popularna, oferując wygodę, efektywność i oszczędność czasu. Ale czym właściwie są e-akta osobowe pracowników i jak je prawidłowo prowadzić?
Procedura VAT-OSS – na czym polega, jak stosować i dlaczego warto. Jak wypełnić zgłoszenie VIU-R
16 sty 2025

Wprowadzenie procedury VAT-OSS (One Stop Shop – co można przetłumaczyć jako: Sklep w jednym miejscu), to istotne uproszczenie rozliczeń podatkowych dla firm prowadzących działalność transgraniczną w Unii Europejskiej. Procedura ta umożliwia przedsiębiorcom rozliczać w jednym miejscu podatek VAT z tytułu sprzedaży towarów i usług na rzecz konsumentów w innych krajach UE. Pozwala to na uniknięcie skomplikowanych procesów rejestracji i rozliczeń w każdym państwie członkowskim oddzielnie.
Automatyzacja i sztuczna inteligencja w księgowości: przykłady konkretnych zastosowań. System wykryje oszusta i fałszywego dostawcę
16 sty 2025

Automatyzacja procesów finansowych (w tym zastosowanie sztucznej inteligencji) już teraz pomaga przedsiębiorcom oszczędzać czas, redukować koszty oraz minimalizuje ryzyko błędów. I choć jej korzyści odkrywają głównie najwięksi rynkowi gracze, wkrótce te narzędzia mogą stać się niezbędnym elementem każdej firmy, chociażby ze względu na ich nieocenioną pomoc w wykrywaniu cyberoszustw. O tym, dlaczego automatyzacja w księgowości jest niezbędna, mówi Marzena Janta-Lipińska, ekspertka ds. podatków, specjalizująca się w księgowości zewnętrznej i propagatorka nowoczesnych, elastycznych rozwiązań z zakresu usług operacyjnych, zgodności z przepisami i sprawozdawczości.
Świetna wiadomość dla podatników. Chodzi o odsetki z urzędu skarbowego
16 sty 2025

Odsetki od nadpłat podatkowych będą naliczane już od dnia ich powstania aż do momentu zwrotu – taką zmianę przewiduje projekt nowelizacji ordynacji podatkowej przyjęty przez rząd. Co jeszcze ulegnie zmianie?

REKLAMA

Podatek od nieruchomości w 2025 r. Budynek i budowla inaczej definiowane, przesunięcie złożenia deklaracji DN-1 i inna stawka dla garaży
15 sty 2025

Budynek i budowla zmieniły od początku 2025 r. swoje definicje w podatku od nieruchomości.  Do tej pory podatnicy posługiwali się uregulowaniami pochodzącymi z prawa budowlanego, dlatego wprowadzenie przepisów regulujących te kwestie bezpośrednio w przepisach podatkowych to spora zmiana. Sprawdzamy, w jaki sposób wpłynie ona na obowiązki podatkowe polskich przedsiębiorców. 
Tsunami zmian podatkowych – kto ucierpi najbardziej?
15 sty 2025

Rok 2025 przynosi kolejną falę zmian podatkowych, które dotkną zarówno najmniejszych przedsiębiorców, jak i największe firmy. Eksperci alarmują, że brak stabilności prawa zagraża inwestycjom w Polsce, a wprowadzenie nowych przepisów w pośpiechu prowadzi do kosztownych błędów. Czy czeka nas poprawa w zakresie przewidywalności i uproszczenia systemu fiskalnego?

REKLAMA