Zgodnie z RODO dotychczasowy Administrator Bezpieczeństwa Informacji, czyli ABI został zastąpiony Inspektorem Ochrony Danych Osobowych (IODO). Ponadto obowiązek powoływania IODO został rozszerzony na niektórych Administratorów Danych Osobowych (ADO).
Poniżej 3 przypadki, w których Administrator Danych Osobowych (ADO) oraz podmiot przetwarzający dane osobowe zobowiązani są do powołania Inspektora Ochrony Danych Osobowych.
- Pierwszy przypadek nie dotyczy przedsiębiorców, a organów i podmiotów publicznych, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. W tym wypadku, ze względu na brak definicji organu publicznego w RODO, przyjmuje się definicję wytycznych Grupy Roboczej art. 29, zgodnie z którą, obowiązek ten obejmuje organy władzy krajowej, organy regionalne i lokalne, ale również podmioty świadczące usługi użyteczności publicznej.
- W przypadku, kiedy ADO lub podmiot przetwarzający dane osobowe dokonuje operacji przetwarzania, wymagających ze względu na swój charakter, cele lub zakres regularnego i systematycznego monitorowania osób, których dane te dotyczą, na dużą skalę, pojawia się obowiązek powołania IODO. Przypadek ten dotyczy również zwykłych przedsiębiorców, jeżeli przetwarzanie danych osobowych jest ich kluczową działalnością.
Do przykładów takiej działalności należą, m.in.: obsługa sieci telekomunikacyjnej lub świadczenia usług telekomunikacyjnych, przekierowanie poczty elektronicznej, śledzenie lokalizacji, monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych, działania marketingowe oparte na danych i inne.
Sprawdź Audyt i wdrożenie RODO Grant Thornton
- Obowiązek powołania IODO ciąży również na podmiotach, które przetwarzają na dużą skalę szczególne kategorie danych osobowych (tzw. dane wrażliwe) lub dane dotyczące wyroków skazujących i naruszeń prawa, przy czym obowiązek powołania IODO występuje jedynie wtedy, gdy spełnione zostały warunki dużej skali i głównej działalności.
Nowa ustawa o ochronie danych osobowych zakłada również okres, w którym osoba będąca w dniu 24 maja 2018 r. Administratorem Bezpieczeństwa Informacji, automatycznie stała się IODO i pełniła tę funkcję do 1 września 2018 r., chyba, że wcześniej powołano inną osobę lub w przypadku braku obowiązku funkcjonowania IODO, odwołano ją. Wymagało to jednak zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych. Po tej dacie w przedsiębiorstwach, w których istnieje obowiązek posiadania IODO, należało wyznaczyć IODO zgodnie z ustawą i zgłosić do Prezesa UOD.
Szczegółowy opis wymienionych obszarów znajduje się w artykule napisanym przez ekspertów LexDigital, którzy wraz z Grant Thornton prowadzą audyty i wdrożenia RODO w firmach Klientów. Czytaj dalej w artykule „Dla kogo powołanie IOD to obowiązek?”
AUTOR: Marzena Wypych, Audyt i wdrożenie RODO
