REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Księgowość » Obrót gospodarczy » Działalność gospodarcza » Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
29 sierpnia 2018, 11:23
Rachelski i Wspólnicy Kancelaria Prawna
Rachelski i Wspólnicy Kancelaria Prawna
Uwalniamy od problemów
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)
Obowiązek ustanowienia IOD (Inspektora Ochrony Danych)

REKLAMA

REKLAMA

Czy w związku z wejściem w życie przepisów RODO masz obowiązek powołać Inspektora Ochrony Danych w swojej firmie? Wyjaśnia Wojciech Ostrowski, radca prawny w Kancelarii Rachelski i Wspólnicy.

Przepisy Rozporządzenia Parlamentu Europejskiego oraz Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46 WE ( w dalszej części zwane RODO) wprowadzają w art. 5 ust.1 RODO określone zasady przetwarzania danych osobowych. Do tzw. materialnych zasad przetwarzania danych osobowych RODO zalicza:

REKLAMA

1) zasadę legalności, rzetelności i przejrzystości przetwarzania (tzw. zgodność przetwarzania z prawem);

2) zasadę celowości (ograniczania celu, przetwarzanie tylko w takim celu, jaki został podany przy ich pozyskiwaniu);

3) zasadę minimalizacji danych (tj. adekwatność, proporcjonalność, zbieramy tylko takie dane, które są nam potrzebne, nie zbieramy danych na wyrost), 4) zasadę prawidłowości (poprawności);

5) zasadę ograniczenia czasowego (czasowość, nie możemy przetwarzać danych w sposób nieograniczony czasowo);

Dalszy ciąg materiału pod wideo

6) zasadę odpowiedniego bezpieczeństwa (integralności i poufności danych).

REKLAMA

Niezależnie od tego RODO wprowadza jeszcze jedną generalną zasadę (tzw. zasadę formalną) a mianowicie taką, że ciężar udowodnienia,  przy przetwarzaniu danych osobowych Administrator ( a więc Twoja firma) stosuje się do wymienionych powyżej zasad przetwarzania danych spoczywa na nas samych (art.5 ust.1 RODO).

Jest to tzw. wymóg rozliczalności. Oznacza on, ni mniej ni więcej tylko to, że mamy nie tylko obowiązek stosować się do w/w 6 zasad materialnych, lecz także, w razie kontroli, wykazać, że podejmowane przez nas działania i stosowane metody są zgodne z RODO, a co więcej są skuteczne.

W świetle RODO, instytucja Inspektora Ochrony Danych (dalej IOD) jest tym elementem, który ma wspomagać Administratora w przestrzeganiu wspomnianej zasady rozliczalności.

Zobacz również:

Czy jednak wszyscy Administratorzy mają obowiązek powołania IOD?

Jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD w każdym podmiocie, to jednak ze względu na wspomnianą powyżej zasadę rozliczalności, niejednokrotnie korzystne dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Z drugiej jednak strony, w świetle przepisów RODO, niektórzy administratorzy i przetwarzający dane mają obowiązek wyznaczenia IOD. Mówiąc ogólnie możemy rozróżnić dwie kategorie podmiotów, a więc te, które co do zasady nie mają obowiązku powołania IOD oraz takie, które obligatoryjnie muszą wyznaczyć IOD.

Zgodnie art. 37 RODO obowiązek wyznaczenia IOD mają następujący administratorzy i podmioty przetwarzające dane:

REKLAMA

- organy i podmioty publiczne (do takich podmiotów najczęściej zalicza się organy władzy państwowej, lokalne władze samorządowe, instytucje publiczne, jednostki wykonujące powierzone zadania publiczne takie jak np. transport publiczny, dostarczanie energii lub wody, świadczenie usług w zakresie infrastruktury drogowej, radiofonii i telewizji publicznej lub inne przedsiębiorstwa użyteczności publicznej),

- podmioty, których główny przedmiot działalności polega na operacjach przetwarzania, które ze względu na swoją dużą skalę, charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą. Do tej kategorii podmiotów, które będą zobowiązane do wyznaczenia IOD można tytułem przykładu wymienić: podmioty świadczące sprzedaż produktów przez internet, szpitale w zakresie przetwarzania danych pacjentów, banki przetwarzające dane swoich klientów albo instytucje ubezpieczeniowe, faktoringowe w zakresie prowadzonej działalności, podmioty przetwarzające dane dla celów reklamy czy też dostawcy lub operatorzy świadczący usługi telekomunikacyjne lub internetowe lub usługi lokalizacyjne, a także podmioty świadczące usługi marketingowe. Jakkolwiek przepisy RODO nie definiują pojęcia „regularnego i systematycznego monitorowania” to jednak, jako przykłady takich działań można wskazać działania polegające na świadczeniu usług telekomunikacyjnych, obsłudze sieci telekomunikacyjnych, przekierowywaniu poczty elektronicznej, świadczeniu usług call center, usługi marketingowe oparte na danych, profilowanie i ocenianie dla celów oceny ryzyka (kredytowego, ubezpieczeniowego, prania pieniędzy, zapobiegania wyłudzeniom), śledzenia lokalizacji np. przez aplikacje mobilne, pakiety usług lojalnościowych, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, monitoring wizyjny (usługi ochroniarskie) itp. Kolejną przesłanką obligującą do wyznaczenia IOD w tej grupie podmiotów jest to, aby operacje przetwarzania były główną działalnością Administratora. Wskazówkę, jak w tym przypadku należy rozumieć pojęcie „główna działalność” można znaleźć w pkt 97 motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak w świetle wyjaśnień zawartych w tym motywie „w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością Administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”. Główna działalnością będzie, zatem kluczowa z punktu widzenia osiągnięcia celów działalność Administratora, z tym, że nie należy tego interpretować w oderwaniu od działalności w zakresie przetwarzania danych nierozerwalnie związaną z działalnością Administratora. Jako obraz takiej działalności można przytoczyć, za stanowiskiem Grupy Roboczej Art.29 DS.. Ochrony Danych, przykład firmy świadczącej usługi ochrony mienia, która prowadzi monitoring w różnych obiektach handlowych, domach prywatnych oraz przestrzeni publicznej. Działalnością główną firmy ochroniarskiej nie jest przecież przetwarzanie danych, lecz świadczenie usług ochroniarskich. Natomiast bezpośrednio z tym związane jest przetwarzanie danych, co powoduje, że firma taka ma obowiązek powołać IOD.

- podmioty, których główny przedmiot działalności polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych – vide art. 9 ust.1 RODO (tytułem przekładu można tu wskazać dane dotyczące pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych lub światopoglądowych, przynależności do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia lub orientacji seksualnej danej osoby) oraz danych osobowych dotyczących wyroków skazujących lub naruszeń prawa. Przepisy RODO nie definiują pojęcia przetwarzania danych osobowych na „dużą skalę” Wydaje się, że nie jest po prostu możliwe wskazanie konkretnej wartości, czy też rozmiaru zbioru danych, czy też liczby osób, których dane dotyczą, która mogłaby posłużyć za przyjęcie, że w danym przypadku mamy do czynienia przypadkiem tzw. „dużej skali.” Pewną wskazówką w tym zakresie może być Pkt 91 Motywów RODO, stanowiących swego rodzaju uzasadnienie (wyjaśnienie) niektórych pojęć zawartych w RODO. I tak zgodnie z treścią tego motywu do operacji o „dużej skali” można zaliczyć takie operacje przetwarzania, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpływać na dużą liczbę osób, których to dane dotyczą, oraz które mogą powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Z drugiej strony w dalszej części powołanego motywu przytaczany jest też skrajny przykład operacji, które nie stanowią przetwarzania na dużą skalę. Zgodnie z tym przykładem nie będzie traktowane, jako przetwarzanie na duża skalę przetwarzanie danych nawet wielu pacjentów przez jednego lekarza lub wielu klientów dokonywane przez jednego prawnika. Idąc tym tropem rozumowania można przyjąć, że np. podmiot prowadzący sieć aptek na terenie kraju będzie zobowiązany do powołania IOD (przetwarza, bowiem na dużą skalę szczególne kategorie danych, jakimi są dane dotyczące stanu zdrowia pacjentów zawarte na receptach), a farmaceuta, prowadzący jednoosobową aptekę, jakkolwiek też przetwarza szczególne kategorie danych, nie będzie już zobowiązany do powołania IOD, gdyż nie przetwarza tych danych „na dużą skalę.”

Polecamy: INFORLEX Ekspert

Polecamy: INFORLEX Biznes

W przypadku innych podmiotów jakkolwiek RODO nie nakłada bezpośredniego obowiązku wyznaczenia IOD to jednak zaleca administratorom oraz podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia IOD. Innymi słowy, jeśli administrator uważa, że nie należy do kategorii podmiotów zobowiązanych do wyznaczenia IOD, to w celu zapewniania przestrzegania zasady rozliczalności, powinien udokumentować w wewnętrznej procedurze brak takiego obowiązku.

W świetle postanowień RODO osoba powołana do pełnienia funkcji IOD może to być zarówno osobą zatrudnioną u administratora jak również podmiotem zewnętrznym wykonującym te zadania na podstawie umowy o świadczenie usług. Osoba taka, zgodnie z art. 37 ust.5 RODO powinna posiadać odpowiednie kwalifikacje zawodowe, a w szczególności wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych oraz praktyki w dziedzinie ochrony danych, która umożliwi mu wykonywanie zadań, o których mowa w art. 39 RODO (wykaz zadań IOD). Należy wskazać, że jest to jedynie minimalna lista obowiązków IOD, którą można w umowie z IOD rozszerzyć. Aby powołać IOD należy, zatem po pierwsze podjąć stosowną uchwałę(decyzję) wyznaczającą IOD, a po drugie, jeśli jest to podmiot zewnętrzny podpisać z osobą pełniącą funkcję IOD stosowaną umowę. Decyzję o powołaniu IOD podejmuje organ uprawniony do reprezentowania Administratora. Będzie to, zatem zarząd w przypadku spółek kapitałowych, wspólnicy uprawnieni do reprezentowania spółki, np. w przypadku spółek jawnych, komplementariusz w przypadku spółek komandytowych lub komandytowo akcyjnych lub właściciel, jeśli IOD powoływany jest przez osobę fizyczną prowadzącą działalność gospodarczą.

Należ też pamiętać, że administrator lub podmiot przetwarzający zobowiązani są opublikować dane kontaktowe IOD oraz zawiadomić o tym fakcie organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych). Niezależnie od tego wskazane jest podpisanie umowy na pełnienie funkcji IOD, która określać będzie prawa i obowiązki IOD a także jego wynagrodzenie za pełnienie funkcji IOD.

Należy pamiętać, ze osoba pełniąca funkcję IOD korzysta ze specjalnego statusu. Przykładowo IOD nie może między innymi otrzymywać instrukcji czy zaleceń dotyczących wykonywania przez niego zadań. Nie może też być odwołany ani karany przez Administratora ani podmiot przetwarzający za wypełnianie swoich obowiązków. Ponadto zgodnie z RODO osoba pełniąca funkcje IOD powinna bezpośrednio podlegać najwyższemu kierownictwu Administratora lub podmiotu przetwarzającego ( a więc zarządowi w przypadku spółek prawa handlowego lub innej osobie, która zgodnie z obowiązującymi przepisami pełni funkcje kierownika danej jednostki). Przepisy RODO określają zadania IOD związane z przestrzeganiem ochrony danych osobowych (art.39 RODO).

Zadania te w świetle przepisów RODO obejmują :

(i) informowanie Administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych, a także doradzanie im w tych sprawach,

(ii) monitorowanie przestrzegania przepisów RODO, innych przepisów o ochronie danych oraz polityki Administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w procedurze przetwarzania danych oraz powiązane z tym audyty,

(iii) udzielanie zaleceń co do oceny skutków dla ochrony danych oraz ich monitorowania,

(iv) współpraca z organem nadzorczym,

(v) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz prowadzenie konsultacji we wszelkich innych spawach wynikających z przepisów RODO.

Tak, jak wspomniano powyżej jest to lista minimalna, którą w umowie z IOD można rozszerzyć (np. powierzyć IOD prowadzenie rejestru czynności). Na zakończenie należy podkreślić, że IOD, co do zasady, nie są osobiście odpowiedzialni za niezgodność przetwarzania z wymogami ochrony danych (RODO). Z przepisów RODO (art.24 ust.1) jasno wynika, iż to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i wykazania zgodności przetwarzania danych z przepisami prawa (tzw. zasada rozliczalności).

Wojciech Ostrowski Radca prawny w Kancelarii Rachelski i Wspólnicy

Powiązane
Działalność nierejestrowana – zasady prowadzenia i opodatkowania
Działalność nierejestrowana – zasady prowadzenia i opodatkowania
Składki ZUS uzależnione od przychodu już od 2019 r.
Składki ZUS uzależnione od przychodu już od 2019 r.
Prowadzenie zakładów bukmacherskich – jak uzyskać zezwolenie?
Prowadzenie zakładów bukmacherskich – jak uzyskać zezwolenie?
Zapisz się na newsletter
Chcesz uniknąć błędów? Być na czasie z najnowszymi zmianami w podatkach? Zapisz się na nasz newsletter i otrzymuj rzetelne informacje prosto na swoją skrzynkę.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

REKLAMA

Księgowość
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Kiedy cudzoziemcy (np. obywatele Ukrainy) muszą płacić w Polsce podatek od spadków i darowizn?
08 sie 2025

W Polsce obecnie mieszka wielu cudzoziemców, przeważają obywatele Ukrainy, tutaj pracują, kształcą się, a także nabywają rzeczy m.in. w drodze darowizn otrzymywanych od swoich rodzin czy w drodze dziedziczenia. Warto zatem przybliżyć im zasady opodatkowania obowiązujące na terytorium RP, a przede wszystkim wyjaśnić w jakich sytuacjach ciąży na nich w naszym kraju obowiązek podatkowy.
KSeF zrewolucjonizuje pracę biur rachunkowych. Nadchodzi największa zmiana od lat
08 sie 2025

Już od kwietnia 2026 każdy przedsiębiorca będzie musiał korzystać z Krajowego Systemu e-Faktur. To ogromne wyzwanie – ale też szansa – zwłaszcza dla biur rachunkowych. Dowiedz się, jak KSeF zmieni obieg dokumentów, rolę księgowych i co zrobić, by nie zostać w tyle w erze cyfrowej rewolucji.
Rozliczanie kilometrówek od aut elektrycznych: jest stanowisko Ministra Finansów i zapowiedź zmian w przepisach
08 sie 2025

Pieniądze, jakie pracodawca przekazuje pracownikowi tytułem zwrotu kosztów używania samochodu elektrycznego do celów służbowych, stanowią przychód pracownika i podlegają opodatkowaniu podatkiem dochodowym. Wydatki takie nie są też kosztem przedsiębiorcy (pracodawcy). Takie jest stanowisko Ministra Finansów zaprezentowane w odpowiedzi wiceministra finansów Jarosława Nenemana na interpelację poselską. Jednocześnie w interpelacji poinformowano, że Ministerstwo Infrastruktury rozpoczęło prace nad zmianami w rozporządzeniu w sprawie warunków ustalania oraz sposobu dokonywania zwrotu kosztów używania do celów służbowych samochodów osobowych, motocykli i motorowerów niebędących własnością pracodawcy. Zmiany te mają pozwolić na wprowadzenie możliwości zwrotu pracownikom kosztów używania do celów służbowych samochodów o napędzie elektrycznym lub hybrydowym, a także napędzanych wodorem, czy też zasilanych innymi alternatywnymi źródłami energii.
Ministerstwo Finansów chce zakończyć nadużycia z przedawnieniem podatków. Nowe zasady już w 2026 roku
07 sie 2025

W nowej wersji projektu nowelizacji Ordynacji podatkowej Ministerstwo Finansów chce zlikwidować możliwość zawieszania biegu przedawnienia zobowiązania podatkowego poprzez wszczęcie postępowania karnego skarbowego. O szczegółach zmian mówi wiceminister finansów Jarosław Neneman.

REKLAMA

Stawki podatku od środków transportowych w 2026 roku: Nowe limity już opublikowane
07 sie 2025

Znamy już nowe górne granice stawek podatku od środków transportowych na 2026 rok. Większość limitów wzrosła o około 4,5% względem 2025 r. Sprawdź szczegółowe porównanie stawek, terminy płatności oraz zasady ustalania stawek przez gminy. To ważne dla przedsiębiorców i samorządów.
TSUE: Urzędy skarbowe nie mogą automatycznie wykreślać firm z rejestru VAT za zaległości
07 sie 2025

Przełomowy wyrok TSUE potwierdza, że wykreślenie firmy z rejestru VAT za brak zapłaty podatku nie może odbywać się automatycznie. Fiskus musi najpierw zbadać przyczyny zaległości i zachowanie przedsiębiorcy. Orzeczenie może uchronić tysiące firm przed nieproporcjonalnymi sankcjami i nieodwracalnymi stratami.
Koniec z bieganiem po zaświadczenia! Rewolucyjne zmiany w podatku od spadków i darowizn, dotyczące zaświadczeń z urzędu skarbowego oraz rozliczeń rent prywatnych
05 sie 2025

Koniec z obowiązkiem przedstawiania zaświadczeń z urzędu skarbowego przy sprzedaży majątku otrzymanego od najbliższej rodziny! Nowelizacja ustawy o podatku od spadków i darowizn upraszcza formalności i rozliczenia rent prywatnych. Sprawdź, co dokładnie się zmienia i kiedy nowe przepisy wchodzą w życie.
2 mln zł zamiast 1 mln! Rząd luzuje zasady w podatku PIT – to przełom dla przedsiębiorców, którzy korzystają z rozliczenia kasowego
04 sie 2025

Rząd szykuje istotną zmianę w podatku dochodowym – limit przychodów uprawniający do kasowego PIT ma wzrosnąć z 1 mln do 2 mln zł. To ogromna ulga dla tysięcy firm, które dzięki nowym przepisom poprawią swoją płynność finansową i uproszczą rozliczenia z fiskusem.

REKLAMA

Wystawianie faktur ustrukturyzowanych narusza konstytucyjne prawo do prywatności
01 sie 2025

Istotna część podatników, mimo istnienia formalnego obowiązku, nie będzie mogła wystawiać faktur ustrukturyzowanych, gdyż nie pozwalają im na to zawarte umowy, w których nabywcy zastrzegają sobie zachowanie tajemnicy handlowej. Wystawianie faktur ustrukturyzowanych w sposób oczywisty narusza tę zasadę, bowiem ich treść będzie w sposób nieograniczony dostępna dla długiej listy organów państwa – pisze prof. dr hab. Witold Modzelewski. I dodaje: Organy te będą mogły bez jakichkolwiek ograniczeń czerpać informacje o tajemnicach handlowych, a zwłaszcza o towarach i usługach oraz cenach stosowanych przez podatników.
Nowe Centrum Kompetencyjne i Zespół ds. zwalczania agresywnego planowania podatkowego – jest ważny krok w uszczelnianiu CIT
01 sie 2025

Ministerstwo Finansów ogłosiło powstanie Centrum Kompetencyjnego ds. zwalczania agresywnego planowania podatkowego w CIT oraz nowego Zespołu analizującego systemowe rozwiązania w tym obszarze. KAS zmienia też priorytety kontroli – liczyć się będą efekty, nie liczba postępowań.

REKLAMA