Przypomnienie: kiedy IOD jest potrzebny i jakie wymogi musi spełniać?

Powołanie Administratora Bezpieczeństwa Informacji było nieobowiązkowe. Natomiast Inspektora Ochrony Danych (IOD), zgodnie z nową ustawą o ochronie danych osobowych, musisz wyznaczyć, jeśli Twoja firma przetwarza dane osobowe lub monitoruje osoby, czyli należy do m. in. jednej z tej kategorii:

• firmy świadczące usługi monitoringu
• banki i firmy ubezpieczeniowe
• firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki
• dostawcy usług telefonicznych lub internetowych

lub przetwarzasz dane osobowe wrażliwe (np. świadczysz usługi medyczne).

IOD musi mieć fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych i może być zarówno pracownikiem firmy, jak i podmiotem zewnętrznym.

Inspektora nie wystarczy wyznaczyć, trzeba także zgłosić tę informację do Urzędu Ochrony Danych Osobowych.

Z czego wynika Twój obowiązek?

Obowiązek wyznaczenia IOD jest określony w art. 37 ust. 1 RODO, zaś obowiązek powiadomienia o tym prezesa UODO - w art. 37 ust 7. Jeśli w firmie jest ABI, zgodnie z art. 10 ust. 1 ustawy o ochronie danych osobowych automatycznie został IOD i pełni tę rolę do 1 września 2018 roku.

Do 31 sierpnia 2018 masz czas, by powołać nowego IOD. Jeśli powołujesz na to stanowisko dotychczasowego ABI, składasz zawiadomienie jak o powołaniu nowego IOD. 

Informacje o prawnych podstawach zmiany ABI na IOD przeczytasz także w opublikowanym w Di tekście IOD zamiast ABI - jak wprowadzić tę zmianę.

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>

Jak zawiadomić UODO - wprowadzenie dla nieprzygotowanych

O wyznaczeniu IOD urząd zawiadamiasz przez internet (to także wymóg ustawowy). Najlepiej wypełnić formularz zawiadomienia w formacie .docx (dostępny na stronach UODO), a następnie przesłać dokument ze swojego komputera do UODO.

Zawiadomienie musisz opatrzyć kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Jeśli go nie masz profilu, zobacz, jak założyć profil zaufany z wizytą w urzędzie i jak założyć profil zaufany przez bankowość elektroniczną.

Zawiadomienie w Twoim imieniu może też złożyć inna osoba (pracownik firmy), ale musi mieć pełnomocnictwo.

Zawiadomienie o wyznaczenie IOD krok po kroku

1. Pobierz (tutaj) formularz .docx pt. "Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych". Wypełnij plik. Formularze znajdziesz także na stronie

2. Część A zawiera oznaczenie administratora danych - są to dane Twojej firmy. W rubryce "Osoba/osoby uprawnione do reprezentowania administratora" należy wpisać osoby z Twojej firmy, które odpowiadają za kontakty z podmiotami zewnętrznymi (uwaga, nie są to jeszcze dane IOD).

3. W części B należy podać dane IOD. Koniecznie trzeba podać przynajmniej jedną formę kontaktu z tą osobą: adres e-mail lub telefon (nie trzeba podawać obu danych).

4. Zapisz wypełniony dokument na dysku komputera. Nazwa pliku powinna brzmieć: "Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych".

5. Zaloguj się do swojego profilu zaufanego (odpowiednią dla siebie metodą).

6. Przejdź do swojej skrzynki.

7. Kliknij w przycisk "Robocze" i wybierz przycisk "Dodaj plik z dysku". Otworzy się okno wyboru pliku. Wybierz zapisany wcześniej plik.

8. Na szarym pasku wyświetli się nazwa pliku. Kliknij "Dodaj", by plik został przesłany na serwer.

9. Plik zostaje wysłany na serwer - widzisz taką informację na górze strony, a plik pojawia się na liście plików w skrzynce roboczej. Aby wysłać ten plik, należy kliknąć w tę nazwę.

10. Na kolejnym ekranie trzeba przygotować dokument do adresowania. Na razie nie trzeba przejmować się ostrzeżeniem "Dokument nie został zaadresowany" - na to przyjdzie pora na dalszym ekranie. Teraz trzeba z listy rozwijanej wybrać rodzaj pisma (będzie to "Zawiadomienie") oraz wpisać tytuł pisma (będzie to "Zawiadomienie o wyznaczeniu nowego inspektora ochrony danych"). 

Pola z treścią nie trzeba wypełniać. Na dole widać nazwę pliku załącznika. Należy kliknąć "Dalej".

11. Kolejny ekran to adresowanie dokumentu. Należy kliknąć przycisk "Książka adresowa".
 

12. W górnym okienku wpisz "Urząd Ochrony Danych", a z wyświetlonych podpowiedzi wybierz tę z nazwą /GIODO/SkrytkaESP.  Po zaznaczeniu należy kliknąć przycisk na dole "Dodaj zaznaczonych odbiorców z listy odbiorców".

13. Na ekranie podsumowującym adresowanie widać nazwę odbiorcy. Należy potwierdzić swój wybór, klikając przycisk "Zapisz odbiorców i wyślij".

14. Na końcu widać pogląd zawiadomienia - tytuł, treść i załącznik. Wystarczy kliknąć "Podpisz" i przejść do potwierdzenia podpisu. Uwaga - wybranie przycisku "Wyślij bez podpisu" sprawi, że zawiadomienie jest nieważne!

15. Po wyborze sposobu podpisu (profil zaufany), pojawi się okienko z miejscem na wpisanie kodu autoryzacyjnego, który przychodzi na telefon.  

16. Gotowe! Potwierdzeniem prawidłowego wysłania jest UPP (Urzędowe Poświadczenie Przedłożenia w postaci pliku XML), które znajdziesz w swojej skrzynce w zakładce „Wysłane”.

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>