Zgodnie z RODO dotychczasowy Administrator Bezpieczeństwa Informacji, czyli ABI został zastąpiony Inspektorem Ochrony Danych Osobowych (IODO). Ponadto obowiązek powoływania IODO został rozszerzony na niektórych Administratorów Danych Osobowych (ADO).

Poniżej 3 przypadki, w których Administrator Danych Osobowych (ADO) oraz podmiot przetwarzający dane osobowe zobowiązani są do powołania Inspektora Ochrony Danych Osobowych.

  • Pierwszy przypadek nie dotyczy przedsiębiorców, a organów i podmiotów publicznych, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. W tym wypadku, ze względu na brak definicji organu publicznego w RODO, przyjmuje się definicję wytycznych Grupy Roboczej art. 29, zgodnie z którą, obowiązek ten obejmuje organy władzy krajowej, organy regionalne i lokalne, ale również podmioty świadczące usługi użyteczności publicznej.
  • W przypadku, kiedy ADO lub podmiot przetwarzający dane osobowe dokonuje operacji przetwarzania, wymagających ze względu na swój charakter, cele lub zakres regularnego i systematycznego monitorowania osób, których dane te dotyczą, na dużą skalę, pojawia się obowiązek powołania IODO. Przypadek ten dotyczy również zwykłych przedsiębiorców, jeżeli przetwarzanie danych osobowych jest ich kluczową działalnością.

Do przykładów takiej działalności należą, m.in.: obsługa sieci telekomunikacyjnej lub świadczenia usług telekomunikacyjnych, przekierowanie poczty elektronicznej, śledzenie lokalizacji, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, działania marketingowe oparte na danych i inne.

Sprawdź Audyt i wdrożenie RODO Grant Thornton

 

  • Obowiązek powołania IODO ciąży również na podmiotach, które przetwarzają na dużą skalę szczególne kategorie danych osobowych (tzw. dane wrażliwe) lub dane dotyczące wyroków skazujących i naruszeń prawa, przy czym obowiązek powołania IODO występuje jedynie wtedy, gdy spełnione zostały warunki dużej skali i głównej działalności.

Nowa ustawa o ochronie danych osobowych zakłada również okres, w którym osoba będąca w dniu 24 maja 2018 r. Administratorem Bezpieczeństwa Informacji, automatycznie stała się IODO i pełniła tę funkcję do 1 września 2018 r., chyba, że wcześniej powołano inną osobę lub w przypadku braku obowiązku funkcjonowania IODO, odwołano ją. Wymagało to jednak zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych. Po tej dacie w przedsiębiorstwach, w których istnieje obowiązek posiadania IODO, należało wyznaczyć IODO zgodnie z ustawą i zgłosić do Prezesa UOD.

Szczegółowy opis wymienionych obszarów znajduje się w artykule napisanym przez ekspertów LexDigital, którzy wraz z Grant Thornton prowadzą audyty i wdrożenia RODO w firmach Klientów. Czytaj dalej w artykule „Dla kogo powołanie IOD to obowiązek?”

AUTOR: Marzena Wypych, Audyt i wdrożenie RODO

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Dla kogo powołanie IOD to obowiązek?

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Poproś o kontakt

Jolanta Jackowiak

Partner, International Liaison Director

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.