Armia i Służby
Wyznaczenie IOD na podstawie ustawy wdrażającej dyrektywę policyjną
Ustawa wdrażająca tzw. dyrektywę policyjną, przewiduje obowiązek wyznaczenia inspektora ochrony danych. W związku z tym administratorzy podlegający tym regulacjom zaczęli zastanawiać się, czy muszą wyznaczyć nowego inspektora ochrony danych.
Większość podmiotów podlegających ustawie z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125) wdrażającej dyrektywę 2016/680 było zobowiązanych od 25 maja 2018 r. do wyznaczenia inspektora ochrony danych (IOD) na podstawie RODO. Wskazuje na to - odnoszący się do organów i podmiotów publicznych - art. 37 ust. 1 lit. a RODO oraz art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Co prawda RODO nie ma zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, jednak ze względu na przetwarzanie przez te organy i podmioty publiczne danych osobowych w innych celach, np. realizacji zadań pracodawców, były one zobowiązane do wyznaczenia IOD już na gruncie RODO.
Dlatego też w związku z ustawą wdrażającą tzw. dyrektywę policyjną, która obowiązuje od 6 lutego 2019 r., w większości przypadków administratorzy danych nie musieli wyznaczać nowego IOD. Wymóg ten mieli zaś ci, którzy wcześniej nie wyznaczyli inspektora.
Obowiązek wyznaczenia IOD na podstawie nowej ustawy
Podmiotami zobowiązanymi do wyznaczenia IOD na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości są przede wszystkim: sądy, prokuratury, Policja, Straż Graniczna, Służba Więzienna, Żandarmeria Wojskowa, Służba Ochrony Państwa. Obowiązek ten mają również Generalny Inspektor Informacji Finansowej, Krajowa Administracja Skarbowa. Także komendanci straży gminnej i miejskiej musza wyznaczyć IOD, niezależnie od tego, czy są oni umiejscowieni w strukturze urzędu gminy czy nie. Ponadto wymóg wyznaczenia inspektora spoczywa także na Głównym Inspektorze Nadzoru Drogowego, Straży Ochrony Kolei, Ministerstwie Środowiska, Głównym Inspektorze Ochrony Środowiska, Straży Rybackiej, Głównym Inspektorze Straży Leśnej, Państwowej Straży Łowieckiej, Urzędzie Żeglugi Śródlądowej, urzędach morskich, Państwowej Inspekcji Sanitarnej, Państwowej Straży Pożarnej, Inspektorze Nadzoru Wewnętrznego (MSWiA). Nowe regulacje określają, że podmioty odpowiedzialne za bezpieczeństwo imprez masowych oraz przewoźnicy lotniczy również są w grupie administratorów, którzy muszą powołać IOD.
Czas na wyznaczenie IOD
Jeżeli dany podmiot miał już wyznaczonego inspektora ochrony danych na podstawie regulacji obowiązujących od 25 maja 2018 r., to ma jeszcze czas na to, by podjąć decyzję o pozostawieniu tej samej osoby na tym stanowisku bądź wyznaczyć nową osobę. Artykuł 98 ust. 1 ustawy wdrażającej dyrektywę policyjną pozwala, by dotychczasowy IOD pełnił swoją funkcję do 6 maja 2019 r. Po tym dniu dotychczasowy IOD będzie kontynuował pełnienie swojej funkcji, jeżeli do 6 maja 2019 r. administrator prześle zawiadomienie o jego wyznaczeniu na IOD na podstawie ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Powinien przy tym skorzystać z odpowiedniego formularza dostępnego na stronie www.uodo.gov.pl. Wyjątkiem od tej zasady jest sytuacja, w której administrator do 6 maja br. wyznaczy na to stanowisko inną osobę i do tego terminu zawiadomi o tym Prezesa UODO.
Przepis przejściowy daje administratorom i inspektorom ochrony danych czas na dostosowanie się do nowych przepisów. Jeśli dotychczasowi IOD mieliby pełnić swoją funkcję także na podstawie przepisów wdrażających tzw. dyrektywę policyjną, powinni oni posiadać wiedzę w zakresie wymagań, jakie przepisy te przewidują wobec przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości. Ponadto zgodnie z art. 46 ust. 2 pkt. 1 i 3 ustawy wdrażającej dyrektywę policyjną, inspektorem ochrony danych może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych oraz nie była skazana prawomocnym wyrokiem orzeczonym za przestępstwo lub przestępstwo skarbowe popełnione umyślnie.
Dla administratorów, którzy do 6 lutego 2019 r. nie wyznaczyli inspektora ochrony danych, ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, określiła termin do 6 marca 2019 r. (art. 98). Z kolei podmioty, które zostaną utworzone po wejściu w życie ustawy mają 14 dni od momentu wyznaczenia inspektora na zawiadomienie Prezesa UODO. Ten sam termin dotyczy przypadków zmiany danych lub odwołania IOD (art. 46 ust. 10).
Sposób zawiadomienia Prezesa UODO o wyznaczeniu IOD
Jedynym prawidłowym i skutecznym sposobem zawiadomienia o wyznaczeniu inspektora ochrony danych jest zawiadomienie w postaci elektronicznej. Wypełniony formularz musi zostać opatrzony kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP osoby uprawnionej do reprezentowania administratora.
Ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości przewiduje możliwość wyznaczenia osoby zastępującej inspektora ochrony danych w czasie jego nieobecności (art. 46 ust. 4).
Źródło: UODO