Do kiedy trzeba wyznaczyć Inspektora Ochrony Danych (IOD)?

Jedną z najważniejszych zmian, jakie od 25 maja 2018 r. przewidują nowe przepisy o ochronie danych osobowych jest przejście od obecnego modelu dobrowolnego wyznaczania ABI do systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych. Wobec tego każdy podmiot - niezależnie od tego, czy skorzystał wcześniej z możliwości powołania ABI, czy nie – powinien dokonać analizy, czy w świetle RODO spoczywa na nim taki obowiązek (więcej o podmiotach zobowiązanych do wyznaczenia inspektora oraz obowiązkach związanych z wyznaczeniem takiej osoby piszemy tutaj).

Okres przejściowy

Osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji w rozumieniu przepisów dotychczasowej ustawy o ochronie danych osobowych, staje się 25 maja 2018 r. inspektorem ochrony danych i pełni swoją funkcję do 1 września 2018 r., chyba że:

• zostanie odwołana przed 1 września 2018 r. (formularz zawiadomienia o odwołaniu: https://www.biznes.gov.pl/opisy-procedur/-/proc/873-zawiadomienie-o-odwolaniu-inspektora-ochrony-danych/45),
• przed tym dniem (1 września 2018 r.) administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na inspektora ochrony danych, w sposób określony w art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (formularz zawiadomienia o wyznaczeniu innej osoby: https://www.biznes.gov.pl/opisy-procedur/-/proc/871-zawiadomienie-o-wyznaczeniu-nowego-iod/45).

Po 1 września 2018 r. osoba taka pełni swoją funkcję nadal, pod warunkiem że do 1 września 2018 r. administrator zawiadomi Prezesa Urzędu o jej wyznaczeniu w sposób określony w art. 10 ust. 1 nowej ustawyo ochronie danych osobowych pod adresem: https://www.biznes.gov.pl/opisy-procedur/-/proc/871-zawiadomienie-o-wyznaczeniu-nowego-iod/45. Więcej o terminach zawiadomienia o wyznaczeniu IOD można znaleźć tutaj.

Powyższy przepis odnosi się do osób, które w dniu 24 maja 2018 r. pełniły funkcję ABI niezależnie od tego, czy zostały wpisane do ogólnokrajowego rejestru ABI prowadzonego do dnia 24 maja 2018 r. przez Generalnego Inspektora Ochrony Danych Osobowych. Rejestr ten od 25 maja 2018 r. przestaje funkcjonować w związku z utratą w tym zakresie mocy obowiązującej przez ustawę z 29 sierpnia 1997 r. o ochronie danych osobowych. Z tym dniem z mocy ustawy ulegają również umorzeniu postępowania dotyczące rejestracji administratorów bezpieczeństwa informacji. Decyzje o umorzeniu nie będą wydawane (art. 160 ust. 4 nowej ustawy o ochronie danych osobowych).

Wydłużony termin dla podmiotów zobowiązanych do wyznaczenia inspektora, które przed 25 maja 2018 r. nie powołały ABI

Zarówno administratorzy, jak i podmioty przetwarzające, które przed 25 maja 2018 r. nie powołały ABI, a są zobowiązane do wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 RODO, mają na to czas do 31 lipca 2018 r. (art. 158 ust. 4 i 5 nowej ustawy o ochronie danych osobowych). Taki sam termin mają one na zawiadomienie Prezesa Urzędu o wyznaczeniu inspektora (formularz zawiadomienia: https://www.biznes.gov.pl/opisy-procedur/-/proc/871-zawiadomienie-o-wyznaczeniu-nowego-iod/45).

Źródło: Urząd Ochrony Danych Osobowych