Obowiązki administratora danych osobowych

Obowiązki administratora danych osobowych i podmiotu przetwarzającego po wyznaczeniu inspektora ochrony danych

Doświadczenie pokazuje, że nie wszyscy administratorzy danych osobowych (i podmioty przetwarzające), którzy wyznaczyli inspektora ochrony danych, wywiązali się ze swoich obowiązków przewidzianych w RODO i ustawie o ochronie danych osobowych z 10 maja 2018 roku.


Art. 37 ust. 7 RODO nakłada na administratora danych osobowych lub podmiot przetwarzający, który wyznaczył inspektora ochrony danych, obowiązek publikacji danych kontaktowych inspektora ochrony danych oraz zawiadomienia o nich organu nadzorczego. Szczegółowe informacje dotyczące procedury zawiadamiania organu nadzorczego zostały przedstawione w ustawie o ochronie danych osobowych z 10 maja 2018 r.

Zgodnie z art. 10 ustawy o ochronie danych osobowych administrator lub podmiot przetwarzający, który wyznaczył inspektora ochrony danych, zawiadamia o tym fakcie Prezesa Urzędu Ochrony Danych Osobowych (polski organ nadzorczy) w terminie 14 dni od wyznaczenia inspektora ochrony danych.

Zawiadomienie obejmuje dane kontaktowe inspektora ochrony danych w postaci: imienia, nazwiska oraz adresu poczty elektronicznej lub numeru telefonu, a także dane administratora danych osobowych lub podmiotu przetwarzającego.

Zawiadomienie o wyznaczeniu inspektora ochrony danych odbywa się drogą elektroniczną za pośrednictwem platformy biznes.gov.pl lub platformy epuap.gov.pl. Wniosek podpisywany jest kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym Profilem Zaufanym. Wniosek może zostać wypełniony przez pełnomocnika, jednakże wiąże się to z koniecznością dołączenia stosownego pełnomocnictwa oraz dowodu zapłaty opłaty skarbowej za pełnomocnictwo. W przypadku bezpośredniego zgłaszania inspektora (bez pełnomocnika) usługa jest bezpłatna.

Kolejnym obowiązkiem podmiotu, który wyznaczył inspektora ochrony danych, przewidzianym w art. 11 ustawy o ochronie danych osobowych, jest udostępnienie danych kontaktowych inspektora na swojej stronie internetowej. Zakres danych jest tożsamy z danymi przekazywanymi do organu nadzorczego – na stronie internetowej muszą znaleźć się dane obejmujące imię i nazwisko inspektora ochrony danych, a także jego adres poczty elektronicznej lub numer telefonu. W przypadku nieposiadania strony internetowej podmiot zobowiązany jest udostępnić dane kontaktowe inspektora w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Niezgłaszanie inspektora ochrony danych do organu nadzorczego oraz nieudostępnianie wymaganych danych kontaktowych do inspektora należą do częstych błędów popełnianych przez administratorów danych osobowych i podmioty przetwarzające. Na wielu stronach internetowych spotkać się można z danymi kontaktowymi do inspektora ochrony danych, które obejmują tylko i wyłącznie adres poczty elektronicznej inspektora, co niestety jest niezgodne z przepisami.

Należy pamiętać, że nieprzestrzeganie obowiązków związanych z zawiadamianiem o wyznaczeniu inspektora ochrony danych oraz udostępnianiem danych kontaktowych inspektora stanowi naruszenie przepisów dotyczących ochrony danych osobowych i może podlegać karze pieniężnej przewidzianej w art. 83 RODO.