Strona główna Dokumentacja Jak formalnie wyznaczyć IOD? (+ wzór uchwały/zarządzenia)

Jak formalnie wyznaczyć IOD? (+ wzór uchwały/zarządzenia)

0
Jak formalnie wyznaczyć IOD? (+ wzór uchwały/zarządzenia)

Jeżeli posiadasz już idealnego kandydata na IOD, spełniającego wymagania omówione w tym artykule, możesz teraz przejść do drugiego kroku, jakim jest wyznaczenie IOD. Unijne rozporządzenie dotyczące ochrony danych osobowych nie określa precyzyjnie formy wyznaczania IOD.

Art. 37 ust. 4 RODO zawiera tylko informację, że:

„(…) administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych.”

Wykładnia językowa tego artykułu wskazuje na fakultatywność wyznaczenia IOD, jeżeli wymóg taki nie jest przewidziany w RODO lub w ustawach krajowych. O tym w jakich wypadkach wyznaczenie IOD jest obligatoryjne pisaliśmy w tym artykule.

IOD może zostać wyznaczony na swoją funkcję zarówno w formie postanowienia zawartego w umowie (umowa o pracę, zlecenia, B2B itp.), jak i w formie oświadczenia woli administrator danych osobowych (uchwały, zarządzenia itp.).

Oświadczenie woli ADO

Wyznaczenie może zostać dokonane, w formie oświadczenia woli administratora danych osobowych. Wyznaczenie powinno być dokonane w formie odpowiadającej reprezentacji danej organizacji. Przykładowo dla Spółek z o.o. będą to oświadczenia członków zarządu, dla jednoosobowych działalności oświadczenia osoby prowadzącej tą działalność dokonanej w formie zarządzenia.

W praktyce wskazuje się, że wyznaczenie powinno być udokumentowane w formie pisemnej. Fakt ten ma bardzo duże znaczenie ze względu na ewentualną kontrolę organu nadzoru, pozwoli nam uniknąć problemów związanych z kwestią dowodową wyznaczenia IOD.

Umowy z IOD

W tej części artykułu zajmę się problematyką wyznaczenia IOD poprzez zawarcie z nim umowy.

Umowa o pracę lub umowy zlecenia

Umowa o pracę może być jedną z form wyznaczenia IOD. Jest to najlepsze rozwiązanie w przypadku, gdy chcemy jednego z naszych pracowników wyznaczyć na stanowisko inspektora. Wystarczy aneksować umowę za zgodą pracownika np. rozszerzając jej obowiązki o ochronę danych oraz dodatkowo wyznaczyć go na tę funkcję oświadczeniem woli organu (np. w postaci uchwały lub zarządzenia).

Powierzając swojemu pracownikowi pełnienie obowiązków IOD, należy jednak pamiętać, że zgodnie z art. 38 ust. 6 RODO nie może w takim przypadku dojść do konfliktu interesów. Konflikt interesów ma miejsce wtedy, gdy IOD w ramach obowiązków niezwiązanych ze swoją funkcją możliwość decydowania o celach i sposobach przetwarzania danych osobowych.

W celu zapewnienia IOD zasobów do pracy, przydatna może okazać się zmiana umowy o pracę, skracająca ją do np. ¾ etatu. W pozostałym zakresie można zawrzeć umowę o sprawowanie funkcji inspektora.

Nie ma także żadnych przeszkód, aby zawrzeć nową umowę z pracownikiem wcześniej niezatrudnionym w organizacji, który będzie pełnił obowiązki IOD. Jeżeli tylko umowa ma wyznaczać IOD niezbędne jest umieszczenie w niej odpowiedniego postanowienia wskazującego na powołanie określonej osoby na tą funkcję.

Należy jednak pamiętać, o tym, że w przypadku, gdy umowa nie jest podpisywana przez osoby reprezentujące ADO, niezbędne jest wydanie formalnego oświadczenia o wyznaczeniu IOD zgodnie z zasadami reprezentacji.

Umowa o świadczenie usług

Nic nie stoi na przeszkodzie, by wyznaczenie IOD nastąpiło na podstawie umów B2B np. w postaci umowy o świadczenie usług. Outsourcing IOD jest popularną usługą, która pozwala obniżyć koszty wyznaczenia tej funkcji.

Pamiętać musimy jednak o tym by zamieścić szczegółowy zakres zadań i odpowiedzialności firmy zewnętrznej. Niezbędne jest również wskazanie osoby fizycznej, która będzie pełniła funkcje IOD.

Zawiadomienie PUODO

Zgodnie z art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, podmiot, który wyznaczył IOD, w ciągu 14 dni od dnia wyznaczenia ma obowiązek zawiadomić Prezesa Urzędu Ochrony Danych Osobowych (PUODO) o tym fakcie. Zgłoszenia tego można dokonać na udostępnionym przez PUODO formularzu, który znajduje się na tej stronie.

Podsumowanie

Ustawodawca unijny w art. 37 ust. 4 RODO nie określił w jakiej formie należy wyznaczyć IOD, co sprawia, że istnieje spora dowolność w tej kwestii. Możemy tego dokonać zarówno na podstawie samego jednostronnego oświadczenia woli ADO, jaki i w formie umowy o pracy lub umowy zlecenia, ważne jest jednak, by została zachowana forma pisemna, a wyznaczenie zostało dokonane zgodnie z zasadami reprezentacji danej organizacji. Po wyznaczeniu IOD mamy zaś 14 dni na zawiadomienie o tym fakcie PUODO.

Wzory

Podczas wyznaczenia IOD polecamy skorzystać z naszych wzorów zarządzenia oraz uchwały w sprawie wyznaczenie IOD. Archiwum zabezpieczone jest hasłem, które można uzyskać zapisując na nasz newsletter.

Maciej Chodorowski

Prawnik, doświadczony specjalista w dziedzinie ochrony danych osobowych, audytor wewnętrzny ISO 27001, Inspektor Ochrony Danych (IOD), a także prezes zarządu firmy doradczej Data Legal Solutions Sp. z o.o.

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

The reCAPTCHA verification period has expired. Please reload the page.