nie każdy podmiot musi go wyznaczyć, ale niektóre podmioty mają taki obowiązek,
można go wyznaczyć dobrowolnie,
IOD monitoruje, czy podmiot, który go wyznaczył, przestrzega RODO,
IOD służy jako punkt kontaktowy dla organu nadzoru i osób, których dane dotyczą,
to nie IOD odpowiada za nieprzestrzeganie wymogów RODO, tylko podmiot, który go wyznaczył.
Cenne informacje na temat obowiązków związanych z IOD znajdują się w wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych przyjętych w dniu 13 grudnia 2016 r. oraz na stronie PUODO, w szczególności w zakładce „dla IOD”.
Kto ma obowiązek wyznaczyć IOD?
Nie każdy administrator lub podmiot przetwarzający jest zobowiązany do wyznaczenia IOD. Zgodnie z RODO obowiązek wyznaczenia IOD istnieje, gdy:
przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
W naszym komentarzu skupimy się na sektorze prywatnym, a więc przyjmy się bliżej przesłankom b) i c).
Czym jest główna działalność administratora/podmiotu przetwarzającego?
Zgodnie z motywem 97 RODO przetwarzanie danych osobowych w sektorze prywatnym jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Wytyczne wskazują, że o głównej działalności administratora możemy mówić, gdy jest to działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane.
Czym jest duża skala?
Brak definicji w RODO. Wytyczne zalecają, żeby brać pod uwagę następujące czynniki:
liczba podmiotów danych – konkretna liczba albo procent określonej grupy społeczeństwa,
okres, przez jaki dane są przetwarzane,
zakres geograficzny przetwarzania danych,
zakres przetwarzanych danych.
Wytyczne nie wskazują jednak konkretnych liczb – trudno zatem ocenić, od kiedy zaczyna się „duża skala”. Także organy nadzoru krajów członkowskich Unii Europejskiej stosują różne progi liczbowe, w niektórych przypadkach dodatkowo różnicowane ze względu na kategorie przetwarzanych danych osobowych. Polski regulator (PUODO) nie wydał wskazówek w tym zakresie.
Wybrane przykłady „przetwarzania na dużą skalę” z Wytycznych:
przetwarzanie danych pacjentów przez szpitale,
przetwarzanie danych klientów przez banki lub ubezpieczycieli,
przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,
przetwarzanie danych dotyczących treści, ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych.
Czym jest regularne i systematyczne monitorowanie osób, których dane dotyczą?
Brak definicji w RODO. Motyw 24 RODO odnosi się do samego monitorowania zachowania osób i wskazuje, że trzeba wziąć pod uwagę, czy osoby są obserwowane w internecie, w tym także czy stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Jednak Wytyczne wyraźnie wskazują, że nie należy ograniczać się tylko do środowiska online.
W Wytycznych zawarte są następujące przykłady działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą:
obsługa sieci telekomunikacyjnej,
świadczenie usług telekomunikacyjnych,
przekierowywanie poczty elektronicznej,
działania marketingowe oparte na danych,
profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
śledzenie lokalizacji, na przykład przez aplikacje mobilne,
programy lojalnościowe,
reklama behawioralna,
monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
monitoring wizyjny,
urządzenia skomunikowane, np. inteligentne liczniki, inteligentne samochody, automatyka domowa.
Fakultatywne wyznaczenie IOD
Nawet jeśli dany podmiot w świetle RODO nie jest zobligowany do wyznaczenia IOD, może go wyznaczyć dobrowolnie. Jeśli jednak podmiot ten (nie musząc wyznaczać IOD na gruncie RODO) podejmie decyzję o wyznaczeniu innego stanowiska odpowiedzialnego za kwestie danych osobowych, to zgodnie z Wytycznymi powinien wyraźnie informować, że osoba na tym stanowisku nie ma statusu IOD w rozumieniu RODO.
Udokumentowanie konieczności wyznaczenia IOD lub jej braku
Dla celów rozliczalności podmiot powinien udokumentować przeprowadzenie oceny w zakresie istnienia lub nieistnienia obowiązku wyznaczenia IOD. Jako że sytuacja podmiotu może ulegać zmianie, zaleca się powtarzanie takiej oceny raz na jakiś czas.
Czy grupa przedsiębiorstw może wyznaczyć jednego IOD?
Grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Każdy z podmiotów z grupy, dla którego wyznaczony został IOD, powinien poinformować organ nadzoru o wyznaczeniu dla niego IOD. Funkcję IOD może pełnić obcokrajowiec, jednak administrator zobowiązany jest zagwarantować sprawną i efektywną komunikację pomiędzy IOD a organem nadzorczym i podmiotami danych w języku polskim.
PUODO zwraca uwagę, że ocena tego, ile podmiotów może obsługiwać jeden IOD, zależna będzie m.in. od:
efektywnej dostępności inspektora,
możliwości uzyskania przez niego szczegółowej wiedzy na temat funkcjonowania podmiotu,
dysponowania przez niego ilością czasu odpowiednią do zakresu zadań i specyfiki procesów przetwarzania danych,
konieczności unikania konfliktu interesów,
wielkości i struktury organizacyjnej jednostki będącej administratorem danych.
Warto zauważyć, co potwierdza PUODO, że dopuszczalne jest wyznaczenie jednej osoby przez kilku administratorów danych także poza grupą przedsiębiorstw.
Jakie kwalifikacje powinien mieć IOD?
Zgodnie z RODO IOD wyznaczany jest na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Co istotne, zgodnie z motywem 97 RODO niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Zgodnie z Wytycznymi poziom wiedzy fachowej IOD musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki, w której został wyznaczony. Wyższy poziom wiedzy i wsparcia będzie więc niezbędny, jeśli dany podmiot przetwarza dużą liczby danych szczególnych kategorii.
Czy IOD musi być pracownikiem administratora/podmiotu przetwarzającego?
RODO wskazuje, że IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Oznacza to, że IOD może zostać zatrudniony na podstawie umowy o pracę lub umowy o charakterze cywilnoprawnym. Forma współpracy IOD wpłynie na zakres jego ewentualnej odpowiedzialności. Zgodnie z Wytycznymi umowa o świadczenie usług może zostać zawarta nie tylko z osobą fizyczną, ale także z innym podmiotem spoza organizacji administratora/procesora. Jednak warto pamiętać, że zgodnie ze stanowiskiem PUODO sam IOD musi być osobą fizyczną. Osoba prawna nie może zostać wyznaczona jako IOD.
Formalności związane z wyznaczeniem IOD
Zgodnie z RODO administrator lub podmiot przetwarzający publikują dane kontaktowe IOD i zawiadamiają o nich organ nadzorczy. Poniżej prezentujemy kluczowe formalności związane z wyznaczeniem IOD, które uwzględniają wprowadzone przez polskiego ustawodawcę dodatkowe wymogi z ustawy o ochronie danych osobowych.
Zawiadomienie PUODO o wyznaczeniu IOD
Zawiadomienie PUODO o wyznaczeniu IOD powinno nastąpić w terminie 14 dni od dnia jego wyznaczenia. W zawiadomieniu należy wskazać w szczególności imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD.
O czym warto pamiętać:
Zawiadomienie należy złożyć za pośrednictwem oficjalnego formularza dostępnego na stronie PUODO. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Zawiadomienie może złożyć pełnomocnik. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.
Podmiot, który wyznaczył IOD, udostępnia jego dane (imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu IOD) niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej.
O czym warto pamiętać:
Jeżeli podmiot nie prowadzi własnej strony internetowej, dane IOD powinny zostać udostępnione w sposób ogólnie dostępny w miejscu prowadzenia działalności.
Konieczność aktualizacji
Podmiot, który wyznaczył IOD, zawiadamia PUODO o każdej zmianie danych, które zostały zawarte w zawiadomieniu o wyznaczeniu oraz o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania
O czym warto pamiętać:
Zawiadomienie należy złożyć za pośrednictwem oficjalnego formularza dostępnego na stronie PUODO. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.
Zawiadomienie może złożyć pełnomocnik. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.
Kto powinien zawiadomić PUODO o odwołaniu IOD w przypadku likwidacji administratora?
Zgodnie ze stanowiskiem PUODO, jeśli administrator nie zawiadomił PUODO o odwołaniu IOD, może to zrobić podmiot, który jest jego następcą prawnym, a zatem przejął prawa i obowiązki likwidowanego podmiotu, wstępując tym samym w jego prawa.
Zastępca IOD
Polski ustawodawca wprowadził możliwość wyznaczenia przez podmiot, który wyznaczył IOD, jego zastępcy na czas nieobecności IOD. Wyznaczenie zastępcy powinno nastąpić z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 RODO (kwalifikacje zawodowe oraz forma współpracy). Do zastępcy IOD, który wykonuje obowiązki IOD, znajdą odpowiednio zastosowanie przepisy dotyczące IOD. Zawiadomienie PUODO o wyznaczeniu zastępcy IOD powinno nastąpić zgodnie z trybem, w którym następuje zawiadomienie o IOD (opisanym w punkcie 7 powyżej), przy czym należy posłużyć się dedykowanym do tego formularzem. Również w przypadku zastępcy IOD konieczna jest publikacja jego danych osobowych na stronie podmiotu, który go wyznaczył.
IOD w obrębie zainteresowań PUODO
PUODO wskazał, że w praktyce nieprawidłowości dotyczące IOD dotyczyły przede wszystkim:
nieopublikowania na stronie internetowej administratora imienia i nazwiska inspektora,
nieaktualizowania danych inspektora na stronie internetowej administratora,
przyjęcia procedur obciążających inspektora obowiązkami powodującymi konflikt interesów,
zapisania w regulaminie organizacyjnym, że IOD może być odwołany w każdym czasie
przyczyn odwołania inspektora,
nieprawidłowego usytuowania IOD w strukturze organizacyjnej administratora – IOD nie podlegał bezpośrednio najwyższemu kierownictwu,
niezapewnienia inspektorowi wystarczającej ilości czasu oraz innych zasobów niezbędnych do wykonywania jego zadań,
niezapewnienia inspektorowi wsparcia finansowego, infrastrukturalnego oraz możliwości aktualizowania wiedzy,
pomijania inspektora w sprawach dotyczących przetwarzania danych osobowych (w tym takich, w których administratorzy prosili o opinię UODO nie zwracając się wcześniej o opinię do inspektora).
Jednocześnie PUODO wskazał, że wypracował następujący zestaw pytań dotyczących IOD:
Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji)?
Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)
W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?
W jaki sposób administrator zapewnia, aby IOD nie był karany i odwoływany za wykonywanie swoich zadań?
W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679?
Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to:
jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania,
w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia 2016/679?
Czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?
Komentarz do art. 37
Inspektor ochrony danych („IOD”):
Cenne informacje na temat obowiązków związanych z IOD znajdują się w wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych przyjętych w dniu 13 grudnia 2016 r. oraz na stronie PUODO, w szczególności w zakładce „dla IOD”.
Kto ma obowiązek wyznaczyć IOD?
Nie każdy administrator lub podmiot przetwarzający jest zobowiązany do wyznaczenia IOD. Zgodnie z RODO obowiązek wyznaczenia IOD istnieje, gdy:
W naszym komentarzu skupimy się na sektorze prywatnym, a więc przyjmy się bliżej przesłankom b) i c).
Czym jest główna działalność administratora/podmiotu przetwarzającego?
Zgodnie z motywem 97 RODO przetwarzanie danych osobowych w sektorze prywatnym jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Wytyczne wskazują, że o głównej działalności administratora możemy mówić, gdy jest to działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane.
Czym jest duża skala?
Brak definicji w RODO. Wytyczne zalecają, żeby brać pod uwagę następujące czynniki:
Wytyczne nie wskazują jednak konkretnych liczb – trudno zatem ocenić, od kiedy zaczyna się „duża skala”. Także organy nadzoru krajów członkowskich Unii Europejskiej stosują różne progi liczbowe, w niektórych przypadkach dodatkowo różnicowane ze względu na kategorie przetwarzanych danych osobowych. Polski regulator (PUODO) nie wydał wskazówek w tym zakresie.
Wybrane przykłady „przetwarzania na dużą skalę” z Wytycznych:
Czym jest regularne i systematyczne monitorowanie osób, których dane dotyczą?
Brak definicji w RODO. Motyw 24 RODO odnosi się do samego monitorowania zachowania osób i wskazuje, że trzeba wziąć pod uwagę, czy osoby są obserwowane w internecie, w tym także czy stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Jednak Wytyczne wyraźnie wskazują, że nie należy ograniczać się tylko do środowiska online.
W Wytycznych zawarte są następujące przykłady działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą:
Fakultatywne wyznaczenie IOD
Nawet jeśli dany podmiot w świetle RODO nie jest zobligowany do wyznaczenia IOD, może go wyznaczyć dobrowolnie. Jeśli jednak podmiot ten (nie musząc wyznaczać IOD na gruncie RODO) podejmie decyzję o wyznaczeniu innego stanowiska odpowiedzialnego za kwestie danych osobowych, to zgodnie z Wytycznymi powinien wyraźnie informować, że osoba na tym stanowisku nie ma statusu IOD w rozumieniu RODO.
Udokumentowanie konieczności wyznaczenia IOD lub jej braku
Dla celów rozliczalności podmiot powinien udokumentować przeprowadzenie oceny w zakresie istnienia lub nieistnienia obowiązku wyznaczenia IOD. Jako że sytuacja podmiotu może ulegać zmianie, zaleca się powtarzanie takiej oceny raz na jakiś czas.
Czy grupa przedsiębiorstw może wyznaczyć jednego IOD?
Grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Każdy z podmiotów z grupy, dla którego wyznaczony został IOD, powinien poinformować organ nadzoru o wyznaczeniu dla niego IOD. Funkcję IOD może pełnić obcokrajowiec, jednak administrator zobowiązany jest zagwarantować sprawną i efektywną komunikację pomiędzy IOD a organem nadzorczym i podmiotami danych w języku polskim.
PUODO zwraca uwagę, że ocena tego, ile podmiotów może obsługiwać jeden IOD, zależna będzie m.in. od:
Warto zauważyć, co potwierdza PUODO, że dopuszczalne jest wyznaczenie jednej osoby przez kilku administratorów danych także poza grupą przedsiębiorstw.
Jakie kwalifikacje powinien mieć IOD?
Zgodnie z RODO IOD wyznaczany jest na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełniania zadań, o których mowa w art. 39 RODO. Co istotne, zgodnie z motywem 97 RODO niezbędny poziom wiedzy fachowej należy ustalić w szczególności w świetle prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają dane osobowe przetwarzane przez administratora lub podmiot przetwarzający. Zgodnie z Wytycznymi poziom wiedzy fachowej IOD musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki, w której został wyznaczony. Wyższy poziom wiedzy i wsparcia będzie więc niezbędny, jeśli dany podmiot przetwarza dużą liczby danych szczególnych kategorii.
Czy IOD musi być pracownikiem administratora/podmiotu przetwarzającego?
RODO wskazuje, że IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Oznacza to, że IOD może zostać zatrudniony na podstawie umowy o pracę lub umowy o charakterze cywilnoprawnym. Forma współpracy IOD wpłynie na zakres jego ewentualnej odpowiedzialności. Zgodnie z Wytycznymi umowa o świadczenie usług może zostać zawarta nie tylko z osobą fizyczną, ale także z innym podmiotem spoza organizacji administratora/procesora. Jednak warto pamiętać, że zgodnie ze stanowiskiem PUODO sam IOD musi być osobą fizyczną. Osoba prawna nie może zostać wyznaczona jako IOD.
Formalności związane z wyznaczeniem IOD
Zgodnie z RODO administrator lub podmiot przetwarzający publikują dane kontaktowe IOD i zawiadamiają o nich organ nadzorczy. Poniżej prezentujemy kluczowe formalności związane z wyznaczeniem IOD, które uwzględniają wprowadzone przez polskiego ustawodawcę dodatkowe wymogi z ustawy o ochronie danych osobowych.
Zastępca IOD
Polski ustawodawca wprowadził możliwość wyznaczenia przez podmiot, który wyznaczył IOD, jego zastępcy na czas nieobecności IOD. Wyznaczenie zastępcy powinno nastąpić z uwzględnieniem kryteriów, o których mowa w art. 37 ust. 5 i 6 RODO (kwalifikacje zawodowe oraz forma współpracy). Do zastępcy IOD, który wykonuje obowiązki IOD, znajdą odpowiednio zastosowanie przepisy dotyczące IOD. Zawiadomienie PUODO o wyznaczeniu zastępcy IOD powinno nastąpić zgodnie z trybem, w którym następuje zawiadomienie o IOD (opisanym w punkcie 7 powyżej), przy czym należy posłużyć się dedykowanym do tego formularzem. Również w przypadku zastępcy IOD konieczna jest publikacja jego danych osobowych na stronie podmiotu, który go wyznaczył.
IOD w obrębie zainteresowań PUODO
PUODO wskazał, że w praktyce nieprawidłowości dotyczące IOD dotyczyły przede wszystkim:
Jednocześnie PUODO wskazał, że wypracował następujący zestaw pytań dotyczących IOD: