Wyznaczenie inspektora ochrony danych – czy zgłaszać do organu nadzorczego

Kwestie związane z zawiadamianiem organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych) o wyznaczeniu inspektora ochrony danych (IOD) ma regulować nowa ustawa o ochronie danych osobowych – ustawa została skierowana do podpisania do Prezydenta RP.

Inspektora ochrony danych wyznacza administrator danych. Może się to np. odbyć w drodze zarządzenia bądź aktu wyznaczenia. Prezesa UODO zawiadamia się o wyznaczeniu inspektora ochrony danych – ten obowiązek powstanie jednak dopiero po 25 maja 2018 r. (wówczas zacznie być stosowane RODO). Zgodnie z nową ustawą od momentu wyznaczenia inspektora ochrony danych administrator danych będzie miał 14 dni na zawiadomienie o tym Prezesa UODO. Artykuł 10 ust. 6 ustawy wskazuje, że zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Generalny Inspektor Ochrony Danych Osobowych zapowiedział, że po 25 maja 2018 r. na stronie internetowej urzędu będzie udostępniony elektroniczny formularz służący do tego celu.

Zgodnie z przepisami przejściowymi nowej ustawy o ochronie danych osobowych – art. 158 – osoba, która 24 maja 2018 r. pełni funkcję administratora bezpieczeństwa informacji (ABI), 25 maja 2018 r. automatycznie stanie się IOD i będzie pełniła tę funkcję do 1 września 2018 r. Jeżeli administrator danych będzie chciał, żeby ta osoba po 1 września 2018 r. nadal była IOD, musi zawiadomić o jej wyznaczeniu Prezesa UODO.

Jeżeli administrator jest zobowiązany przepisami RODO (art. 37) do wyznaczenia IOD, a nie miał do tej pory ABI, to będzie miał czas do 31 lipca 2018 r., żeby wyznaczyć IOD i zawiadomić o tym Prezesa UODO – wynika to z art. 158 ust. 4 nowej ustawy o ochronie danych osobowych.