Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

 

STAN PRAWNY NA 24 KWIETNIA 2025

Jakkolwiek ogólne Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (znane szeroko jako RODO) stosować należy od siedmiu lat, to nadal istnieją wątpliwości odnośnie do rozdzielenia funkcji administratora danych osobowych (ADO) oraz inspektora ochrony danych (IOD). W praktyce to, co wydawało się oczywiste w kontekście obowiązków IOD, wcale tak oczywiste nie jest. Wątpliwości wzbudziły zwłaszcza ostatnie interpretacje Prezesa Urzędu Ochrony Danych Osobowych (UODO).

Administrator danych osobowych (ADO)

Art. 4 pkt 7 RODO definiuje ADO jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przedszkole prywatne, np. jako spółka czy też osoba fizyczna je prowadząca (gdy jest ono działalnością osoby fizycznej), posiada status ADO decydujący o celach i środkach przetwarzania danych osobowych,  Status ten należy odróżnić od statusu dyrektora przedszkola (dalej zwanego dyrektorem), który ADO nie jest, lecz go reprezentuje. Przedszkole może zlecić wiele zadań ADO na zewnątrz, np. zewnętrznemu IOD lub podpisując umowę powierzenia danych z podmiotem przetwarzającym dane w imieniu ADO. Niemniej przedszkole nie traci w ten sposób (i nie może stracić) statusu ADO. Finalnie odpowiada za naruszenie przepisów o ochronie danych osobowych. Oczywiście placówka może mieć roszczenia do różnych podmiotów z tytułu niewykonania ich obowiązków, jednak odpowiedzialność cywilna i administracyjna określona w RODO nadal będzie na nim spoczywać.

Przedszkole = ADO

Dyrektor = osoba reprezentująca ADO

Podmiot przetwarzający (np. firma hostingowa) = podmiot przetwarzający dane w imieniu ADO

Inspektor ochrony danych (IOD) = osoba powołana przez ADO dobrowolnie lub z prawnego obowiązku

Inspektor ochrony danych (IOD)

Art. 37 RODO wskazuje, kiedy pojawia się obowiązek wyznaczenia IOD. Ma to miejsce, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność ADO lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność ADO lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, na które wskazuje art. 10 RODO.

Prywatne przedszkole nie musi tym samym powoływać IOD, choć ma taką możliwość (choćby w celu zapewnienia sobie wizerunku podmiotu szczególnie dbającego o prywatność dzieci). Ponadto zgodnie z RODO grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

Nie ma w przepisach żadnych konkretnych wymagań dla IOD w zakresie np. wykształcenia czy też certyfikatów. IOD należy bowiem wyznaczyć na podstawie kwalifikacji zawodowych, a zwłaszcza wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Te zadania to:

  • informowanie ADO, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych i doradzanie im w tej sprawie,
  • monitorowanie przestrzegania przepisów o ochronie danych oraz polityk ADO lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO,
  • współpraca z prezesem UODO,
  • pełnienie funkcji punktu kontaktowego dla prezesa UODO w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami przy ocenie skutków dla ochrony danych, o których to konsultacjach mowa w art. 36, oraz – w stosownych przypadkach – prowadzenie konsultacji we wszelkich innych sprawach.

Przykład. Na co dzień IOD będzie prowadził szkolenia i audyty, dostarczał materiałów niezbędnych do aktualizacji wiedzy personelu czy też odpowiadał na pytania personelu. W razie potrzeby IOD będzie konsultował ocenę skutków dla ochrony danych z ADO oraz odbierał informacje od prezesa UODO.

IOD może być członkiem personelu ADO lub podmiotu przetwarzającego. Może też wykonywać zadania na podstawie umowy o świadczenie usług. IOD można powołać: