Pragniemy zwrócić Państwa uwagę, iż zarówno administratorzy, jak i podmioty przetwarzające dane osobowe, które przed 25 maja 2018 r. nie powołały ABI, a są zobowiązane do wyznaczenia inspektora ochrony danych ( „IOD”) na podstawie art. 37 ust. 1 RODO, mają na to czas do 31 lipca 2018 r. (art. 158 ust. 4 i 5 nowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych „uodo”). Taki sam termin mają one na zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu inspektora.

Ogólne rozporządzenie o ochronie danych w art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających m.in. wówczas, gdy:

a) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;

Przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Tak więc „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane.

Odnośnie zaś przesłanki „dużej skali”, nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. W każdym razie przy jej określeniu zaleca się brać pod uwagę:
– liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
– Zakres przetwarzanych danych osobowych;
– Okres, przez jaki dane są przetwarzane;
– Zakres geograficzny przetwarzania danych osobowych;

b) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski (art. 9 uodo).

Uwaga! Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu jest zawiadomienie w postaci elektronicznej, opatrzone kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP (zgodnie z art. 10 ust. 6 uodo).

W przypadku podmiotów, które 24 maja br. miały powołanego ABI i decydują, że osoba ta będzie pełnić funkcję IOD również po 25 maja br. termin na zawiadomienie o wyznaczeniu IOD mija 1 września 2018 r.

Z poważaniem, 
dr Anna Maria Panasiuk, adwokat