REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Obrót gospodarczy » Działalność gospodarcza » Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
29 sierpnia 2018, 11:23
Rachelski i Wspólnicy Kancelaria Prawna
Rachelski i Wspólnicy Kancelaria Prawna
Uwalniamy od problemów
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

REKLAMA

REKLAMA

Czy w związku z wejściem w życie przepisów RODO masz obowiązek powołać Inspektora Ochrony Danych w swojej firmie? Wyjaśnia Wojciech Ostrowski, radca prawny w Kancelarii Rachelski i Wspólnicy.

Przepisy Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE ( w dalszej części zwane RODO) wprowadzają w art. 5 ust.1 RODO określone zasady przetwarzania danych osobowych. Do tzw. materialnych zasad przetwarzania danych osobowych RODO zalicza:

REKLAMA

Autopromocja
Komplet Podatki 2025 - wiedza dla księgowych i biur rachunkowych
PIT, CIT, Ryczałt 2025. Podatki część 1. Ponad 100 zmian
VAT 2025

1) zasadę legalności, rzetelności i przejrzystości przetwarzania (tzw. zgodność przetwarzania z prawem);

2) zasadę celowości (ograniczania celu, przetwarzanie tylko w takim celu, jaki został podany przy ich pozyskiwaniu);

3) zasadę minimalizacji danych (tj. adekwatność, proporcjonalność, zbieramy tylko takie dane, które są nam potrzebne, nie zbieramy danych na wyrost), 4) zasadę prawidłowości (poprawności);

Szkolenie: CIT estoński – warsztat dla księgowych
Autopromocja

Szkolenie: CIT estoński
warsztat dla księgowych

Sprawdź

5) zasadę ograniczenia czasowego (czasowość, nie możemy przetwarzać danych w sposób nieograniczony czasowo);

Dalszy ciąg materiału pod wideo

6) zasadę odpowiedniego bezpieczeństwa (integralności i poufności danych).

Niezależnie od tego RODO wprowadza jeszcze jedną generalną zasadę (tzw. zasadę formalną) a mianowicie taką, że ciężar udowodnienia,  przy przetwarzaniu danych osobowych Administrator ( a więc Twoja firma) stosuje się do wymienionych powyżej zasad przetwarzania danych spoczywa na nas samych (art.5 ust.1 RODO).

Sprawozdanie finansowe 2024. Przykłady, schematy, tabele, wzory
Autopromocja

Sprawozdanie finansowe 2024
Przykłady, schematy, tabele, wzory

Sprawdź

Jest to tzw. wymóg rozliczalności. Oznacza on, ni mniej ni więcej tylko to, że mamy nie tylko obowiązek stosować się do w/w 6 zasad materialnych, lecz także, w razie kontroli, wykazać, że podejmowane przez nas działania i stosowane metody są zgodne z RODO, a co więcej są skuteczne.

W świetle RODO, instytucja Inspektora Ochrony Danych (dalej IOD) jest tym elementem, który ma wspomagać Administratora w przestrzeganiu wspomnianej zasady rozliczalności.

Jak przygotować się do zmian 2025. Podatki. Rachunkowość. ZUS
Autopromocja

Jak przygotować się do zmian 2025.
Podatki. Rachunkowość. ZUS

Sprawdź

Zobacz również:

Czy jednak wszyscy Administratorzy mają obowiązek powołania IOD?

Jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD w każdym podmiocie, to jednak ze względu na wspomnianą powyżej zasadę rozliczalności, niejednokrotnie korzystne dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Z drugiej jednak strony, w świetle przepisów RODO, niektórzy administratorzy i przetwarzający dane mają obowiązek wyznaczenia IOD. Mówiąc ogólnie możemy rozróżnić dwie kategorie podmiotów, a więc te, które co do zasady nie mają obowiązku powołania IOD oraz takie, które obligatoryjnie muszą wyznaczyć IOD.

Zgodnie art. 37 RODO obowiązek wyznaczenia IOD mają następujący administratorzy i podmioty przetwarzające dane:

- organy i podmioty publiczne (do takich podmiotów najczęściej zalicza się organy władzy państwowej, lokalne władze samorządowe, instytucje publiczne, jednostki wykonujące powierzone zadania publiczne takie jak np. transport publiczny, dostarczanie energii lub wody, świadczenie usług w zakresie infrastruktury drogowej, radiofonii i telewizji publicznej lub inne przedsiębiorstwa użyteczności publicznej),

REKLAMA

- podmioty, których główny przedmiot działalności polega na operacjach przetwarzania, które ze względu na swoją dużą skalę, charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Do tej kategorii podmiotów, które będą zobowiązane do wyznaczenia IOD można tytułem przykładu wymienić: podmioty świadczące sprzedaż produktów przez internet, szpitale w zakresie przetwarzania danych pacjentów, banki przetwarzające dane swoich klientów albo instytucje ubezpieczeniowe, faktoringowe w zakresie prowadzonej działalności, podmioty przetwarzające dane dla celów reklamy czy też dostawcy lub operatorzy świadczący usługi telekomunikacyjne lub internetowe lub usługi lokalizacyjne, a także podmioty świadczące usługi marketingowe. Jakkolwiek przepisy RODO nie definiują pojęcia „regularnego i systematycznego monitorowania” to jednak, jako przykłady takich działań można wskazać działania polegające na świadczeniu usług telekomunikacyjnych, obsłudze sieci telekomunikacyjnych, przekierowywaniu poczty elektronicznej, świadczeniu usług call center, usługi marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (kredytowego, ubezpieczeniowego, prania pieniędzy, zapobiegania wyłudzeniom), śledzenia lokalizacji np. przez aplikacje mobilne, pakiety usług lojalnościowych, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, monitoring wizyjny (usługi ochroniarskie) itp. Kolejną przesłanką obligującą do wyznaczenia IOD w tej grupie podmiotów jest to, aby operacje przetwarzania były główną działalnością Administratora. Wskazówkę, jak w tym przypadku należy rozumieć pojęcie „główna działalność” można znaleźć w pkt 97 motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak w świetle wyjaśnień zawartych w tym motywie „w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością Administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”. Główna działalnością będzie, zatem kluczowa z punktu widzenia osiągnięcia celów działalność Administratora, z tym, że nie należy tego interpretować w oderwaniu od działalności w zakresie przetwarzania danych nierozerwalnie związaną z działalnością Administratora. Jako obraz takiej działalności można przytoczyć, za stanowiskiem Grupy Roboczej Art.29 DS.. Ochrony Danych, przykład firmy świadczącej usługi ochrony mienia, która prowadzi monitoring w różnych obiektach handlowych, domach prywatnych oraz przestrzeni publicznej. Działalnością główną firmy ochroniarskiej nie jest przecież przetwarzanie danych, lecz świadczenie usług ochroniarskich. Natomiast bezpośrednio z tym związane jest przetwarzanie danych, co powoduje, że firma taka ma obowiązek powołać IOD.

- podmioty, których główny przedmiot działalności polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – vide art. 9 ust.1 RODO (tytułem przekładu można tu wskazać dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia lub orientacji seksualnej danej osoby) oraz danych osobowych dotyczących wyroków skazujących lub naruszeń prawa. Przepisy RODO nie definiują pojęcia przetwarzania danych osobowych na „dużą skalę” Wydaje się, że nie jest po prostu możliwe wskazanie konkretnej wartości, czy też rozmiaru zbioru danych, czy też liczby osób, których dane dotyczą, która mogłaby posłużyć za przyjęcie, że w danym przypadku mamy do czynienia przypadkiem tzw. „dużej skali.” Pewną wskazówką w tym zakresie może być Pkt 91 Motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak zgodnie z treścią tego motywu do operacji o „dużej skali” można zaliczyć takie operacje przetwarzania, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpływać na dużą liczbę osób, których to dane dotyczą, oraz które mogą powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Z drugiej strony w dalszej części powołanego motywu przytaczany jest też skrajny przykład operacji, które nie stanowią przetwarzania na dużą skalę. Zgodnie z tym przykładem nie będzie traktowane, jako przetwarzanie na duża skalę przetwarzanie danych nawet wielu pacjentów przez jednego lekarza lub wielu klientów dokonywane przez jednego prawnika. Idąc tym tropem rozumowania można przyjąć, że np. podmiot prowadzący sieć aptek na terenie kraju będzie zobowiązany do powołania IOD (przetwarza, bowiem na dużą skalę szczególne kategorie danych, jakimi są dane dotyczące stanu zdrowia pacjentów zawarte na receptach), a farmaceuta, prowadzący jednoosobową aptekę, jakkolwiek też przetwarza szczególne kategorie danych, nie będzie już zobowiązany do powołania IOD, gdyż nie przetwarza tych danych „na dużą skalę.”

Polecamy: INFORLEX Ekspert

Polecamy: INFORLEX Biznes

W przypadku innych podmiotów jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD to jednak zaleca administratorom oraz podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD. Innymi słowy, jeśli administrator uważa, że nie należy do kategorii podmiotów zobowiązanych do wyznaczenia IOD, to w celu zapewniania przestrzegania zasady rozliczalności, powinien udokumentować w wewnętrznej procedurze brak takiego obowiązku.

W świetle postanowień RODO osoba powołana do pełnienia funkcji IOD może to być zarówno osobą zatrudnioną u administratora jak również podmiotem zewnętrznym wykonującym te zadania na podstawie umowy o świadczenie usług. Osoba taka, zgodnie z art. 37 ust.5 RODO powinna posiadać odpowiednie kwalifikacje zawodowe, a w szczególności wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych oraz praktyki w dziedzinie ochrony danych, która umożliwi mu wykonywanie zadań, o których mowa w art. 39 RODO (wykaz zadań IOD). Należy wskazać, że jest to jedynie minimalna lista obowiązków IOD, którą można w umowie z IOD rozszerzyć. Aby powołać IOD należy, zatem po pierwsze podjąć stosowną uchwałę(decyzję) wyznaczającą IOD, a po drugie, jeśli jest to podmiot zewnętrzny podpisać z osobą pełniącą funkcję IOD stosowaną umowę. Decyzję o powołaniu IOD podejmuje organ uprawniony do reprezentowania Administratora. Będzie to, zatem zarząd w przypadku spółek kapitałowych, wspólnicy uprawnieni do reprezentowania spółki, np. w przypadku spółek jawnych, komplementariusz w przypadku spółek komandytowych lub komandytowo akcyjnych lub właściciel, jeśli IOD powoływany jest przez osobę fizyczną prowadzącą działalność gospodarczą.

Należ też pamiętać, że administrator lub podmiot przetwarzający zobowiązani są opublikować dane kontaktowe IOD oraz zawiadomić o tym fakcie organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych). Niezależnie od tego wskazane jest podpisanie umowy na pełnienie funkcji IOD, która określać będzie prawa i obowiązki IOD a także jego wynagrodzenie za pełnienie funkcji IOD.

Należy pamiętać, ze osoba pełniąca funkcję IOD korzysta ze specjalnego statusu. Przykładowo IOD nie może między innymi otrzymywać instrukcji czy zaleceń dotyczących wykonywania przez niego zadań. Nie może też być odwołany ani karany przez Administratora ani podmiot przetwarzający za wypełnianie swoich obowiązków. Ponadto zgodnie z RODO osoba pełniąca funkcje IOD powinna bezpośrednio podlegać najwyższemu kierownictwu Administratora lub podmiotu przetwarzającego ( a więc zarządowi w przypadku spółek prawa handlowego lub innej osobie, która zgodnie z obowiązującymi przepisami pełni funkcje kierownika danej jednostki). Przepisy RODO określają zadania IOD związane z przestrzeganiem ochrony danych osobowych (art.39 RODO).

Zadania te w świetle przepisów RODO obejmują :

(i) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych, a także doradzanie im w tych sprawach,

(ii) monitorowanie przestrzegania przepisów RODO, innych przepisów o ochronie danych oraz polityki Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w procedurze przetwarzania danych oraz powiązane z tym audyty,

(iii) udzielanie zaleceń co do oceny skutków dla ochrony danych oraz ich monitorowania,

(iv) współpraca z organem nadzorczym,

(v) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz prowadzenie konsultacji we wszelkich innych spawach wynikających z przepisów RODO.

Tak, jak wspomniano powyżej jest to lista minimalna, którą w umowie z IOD można rozszerzyć (np. powierzyć IOD prowadzenie rejestru czynności). Na zakończenie należy podkreślić, że IOD, co do zasady, nie są osobiście odpowiedzialni za niezgodność przetwarzania z wymogami ochrony danych (RODO). Z przepisów RODO (art.24 ust.1) jasno wynika, iż to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i wykazania zgodności przetwarzania danych z przepisami prawa (tzw. zasada rozliczalności).

Wojciech Ostrowski Radca prawny w Kancelarii Rachelski i Wspólnicy

Powiązane
Działalność nierejestrowana – zasady prowadzenia i opodatkowania
Działalność nierejestrowana – zasady prowadzenia i opodatkowania
Składki ZUS uzależnione od przychodu już od 2019 r.
Składki ZUS uzależnione od przychodu już od 2019 r.
Prowadzenie zakładów bukmacherskich – jak uzyskać zezwolenie?
Prowadzenie zakładów bukmacherskich – jak uzyskać zezwolenie?
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Duże zmiany w ordynacji podatkowej od 2026 r. Przedawnienie, zapłata podatku, zwrot nadpłaty, MDR. Ponad 50 różnych zmian w projekcie nowelizacji
28 mar 2025

W dniu 28 marca 2025 r. opublikowany został projekt bardzo obszernej nowelizacji Ordynacji podatkowej i kilkunastu innych ustaw. Zmiany są bardzo liczne i mają wejść w życie 1 stycznia 2026 r. Ministerstwo Finansów informuje, że celem tej nowelizacji jest poprawa relacji między podatnikami i organami podatkowymi, zwiększenie efektywności działania organów podatkowych oraz doprecyzowanie przepisów, których stosowanie budzi wątpliwości. Zobaczmy jakie zmiany czekają podatników od początku przyszłego roku.
Obowiązkowe e-Doręczenia od 1 kwietnia 2025 r. dla firm zarejestrowanych w KRS. Jak założyć skrzynkę i aktywować Adres do Doręczeń Elektronicznych (ADE)
27 mar 2025

W komunikacie z 27 marca 2025 r. Poczta Polska przypomina o nadchodzącym terminie: 1 kwietnia 2025 r., kiedy to obowiązek korzystania z systemu e-Doręczeń zostanie rozszerzony na przedsiębiorstwa zarejestrowane w Krajowym Rejestrze Sądowym przed początkiem bieżącego roku.
Ekologiczne opakowania w e-handlu - ogromne wyzwanie dla logistyki
26 mar 2025

Europejski klient e-commerce ma sprzeczne oczekiwania wobec opakowań, w których dostarczane są jego zamówienia. Domaga się ekologicznych rozwiązań, ale rzadko zrezygnuje z zakupu, jeśli nie otrzyma alternatywy zrównoważonej klimatycznie. Nie chce też płacić za spełnienie postulatów środowiskowych, a długa lista rozbieżności generuje ogromne wyzwania po stronie sprzedawców i logistyki. Ekologiczna rewolucja nie jest tania, dodatkowo nowe unijne przepisy wymuszają daleko idące zmiany w procesie realizacji zamówień.

Praca w KAS - rekrutacja 2025. Gdzie szukać ogłoszeń?
26 mar 2025

Praca w KAS a rekrutacja w 2025 roku. Jakie zadania ma Krajowa Administracja Państwowa? Kto może pracować w KAS? Gdzie szukać ogłoszeń? Jakie są wymagania są w trakcie rekrutacji w 2025 roku?

REKLAMA

Roczne zeznanie podatkowe CIT tylko do 31 marca. Jak złożyć CIT-8
28 mar 2025

Ministerstwo Finansów i Krajowa Administracja Skarbowa przypominają, że 31 marca 2025 r. upływa termin złożenia zeznania CIT-8 za 2024 rok dla tych podatników, których rok podatkowy pokrywa się z rokiem kalendarzowym. CIT-8 można złożyć także elektronicznie w serwisie e-Urząd Skarbowy bez konieczności posiadania podpisu kwalifikowanego.
PKPiR 2026: będzie 15 poważnych zmian i nowe rozporządzenie od 1 stycznia. Terminy wpisów, dodatkowe kolumny do KSeF, dowody księgowe i inne nowości
28 mar 2025

Minister Finansów przygotował projekt nowego rozporządzenia w sprawie prowadzenia podatkowej księgi przychodów i rozchodów (pkpir). Nowe przepisy zaczną obowiązywać od 1 stycznia 2026 r. Sprawdziliśmy co się zmieni w zasadach prowadzenia pkpir w porównaniu do obecnego stanu prawnego.
Odpisy amortyzacyjne spółek nieruchomościowych
26 mar 2025

Najnowsze orzeczenia Naczelnego Sądu Administracyjnego (NSA) przynoszą istotne zmiany dla spółek nieruchomościowych w zakresie możliwości rozpoznawania odpisów amortyzacyjnych w kosztach podatkowych. W styczniu tego roku NSA w kilku wyrokach (sygn. II FSK 788/23, II FSK 789/23, II FSK 987/23, II FSK 1086/23, II FSK 1652/23) potwierdził korzystne dla podatników stanowisko wojewódzkich sądów administracyjnych (WSA).
CIT estoński a optymalizacja podatkowa. Czy to się opłaca?
25 mar 2025

Przedsiębiorcy coraz częściej poszukują skutecznych sposobów na obniżenie obciążeń podatkowych. Jednym z rozwiązań, które zyskuje na popularności, jest estoński CIT. Czy rzeczywiście ta forma opodatkowania przynosi realne korzyści? Przyjrzyjmy się, na czym polega ten model, kto może z niego skorzystać i jakie są jego zalety oraz wady dla polskich przedsiębiorstw.

REKLAMA

Składka zdrowotna w 2026 roku – będzie ewolucja czy rewolucja?
25 mar 2025

Planowane na 2026 rok zmiany w składce zdrowotnej dla przedsiębiorców stanowią jeden z najbardziej dyskutowanych tematów w sferze podatkowej, mimo iż sama składka podatkiem nie jest. Tak jak każda kwestia dotycząca finansów osobistych a równocześnie publicznych, wywołuje liczne pytania zarówno wśród prowadzących jednoosobową działalność gospodarczą, jak i wśród polityków, gdzie widoczne są wyraźne podziały.
Podatnik już nie będzie karany za przypadkowe błędy, nie będzie udowadniał niewinności
24 mar 2025

Szef rządu Donald Tusk poinformował, że za niecelowe, przypadkowe błędy nie będzie się już karać podatnika. Teraz to urząd skarbowy będzie musiał udowadniać jak jest.

REKLAMA