Rekomendacja powołania IOD
- Prawo
dane
- Kategoria
analiza
- Instrukcja
Należy rozpocząć od uzupełnienia nazwy firmy w polu [FIRMA]. W polu [ADRES] należy wpisać adres firmy, a w polu [OKRES] datę sporządzenia dokumentu. W kolejnym polu [FIRMA] lub [SYGNATURA] należy ponownie wpisać nazwę firmy lub jej sygnaturę. Następnie należy uzupełnić numer strony w polu [NUMER STRONY] oraz całkowitą liczbę stron dokumentu w polu [LICZBA STRON]. W tabeli, w kolumnie "Czy okoliczność występuje?", należy zaznaczyć "Tak" lub "Nie" dla każdej z wymienionych okoliczności, uzasadniając swoją odpowiedź w kolumnie "Uzasadnienie". W punkcie 2 należy ponownie wpisać nazwę firmy w polu [FIRMA], a następnie określić, czy powołanie IOD jest wymagane, wpisując "jest" lub "nie jest". Należy określić rodzaj przedsiębiorstwa w polu [rodzaj], a także jego adres w polu [ADRES]. W polu [OKRES] należy wpisać okoliczności uzasadniające powołanie lub brak powołania IOD. W polu [UZASADNIENIE] należy szczegółowo uzasadnić swoją rekomendację. W punkcie 3 należy wybrać odpowiedni fragment tekstu w nawiasach kwadratowych, w zależności od sytuacji firmy, i uzupełnić go, wpisując nazwę firmy w polu [FIRMA] oraz ewentualne dalsze informacje w polu [I DALSZE INFORMACJE]. W punktach 4-9 należy zweryfikować, czy podane informacje są adekwatne do sytuacji firmy i ewentualnie uzupełnić je o dodatkowe informacje. Na końcu dokumentu należy umieścić sygnaturę osoby sporządzającej dokument w polu [SYGNATURA]. W każdym miejscu, gdzie pojawia się [SYGNATURA] odnosząca się do dyrektywy lub rozporządzenia, należy wpisać odpowiednią sygnaturę aktu prawnego.
- Dane
adres, firma, i dalsze informacje, liczba stron, numer strony, okres, rodzaj, sygnatura, uzasadnienie
Rekomendacja dotycząca powołania Inspektora Ochrony Danych (IOD). Dokument przedstawia analizę zasadności powołania IOD dla firmy w kontekście postanowień RODO. Omawia kryteria wymagające powołania IOD oraz wskazuje zadania, kompetencje i obowiązki Inspektora w zakresie ochrony danych osobowych.
REKOMENDACJA DOTYCZĄCA POWOŁANIA IOD
Szablon przygotowany przez [FIRMA]
[ADRES], dn. [OKRES]
ANALIZA ZASADNOŚCI WYZNACZENIA
INSPEKTORA OCHRONY DANYCH
w
[FIRMA]
lub [SYGNATURA]
DOKUMENT WEWNĘTRZNY Strona [NUMER STRONY] z [LICZBA STRON]
1. Stosownie do art. 37 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z [OKRES] r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy [SYGNATURA] (Dz.Urz.UE.L Nr [SYGNATURA], str. [SYGNATURA]), dalej: RODO, poniższa tabelka ilustruje,
czy w [FIRMA] występują okoliczności, w
których wymagane jest powołanie inspektora ochrony danych (dalej: IOD).
Czy okoliczność
Okoliczność Uzasadnienie
występuje?
Przetwarzania dokonują organ lub
podmiot publiczny, z wyjątkiem sądów
w zakresie sprawowania przez nie [Tak / Nie]
wymiaru sprawiedliwości
(art. 37 ust. 1 lit. a RODO)
Główna działalność administratora lub
podmiotu przetwarzającego polega na
operacjach przetwarzania, które ze
względu na swój charakter, zakres lub [Tak / Nie]
cele wymagają regularnego i
systematycznego monitorowania osób,
których dane dotyczą, na dużą skalę
(art. 37 ust. 1 lit. b RODO)
Główna działalność administratora lub
podmiotu przetwarzającego polega na
przetwarzaniu na dużą skalę
szczególnych kategorii danych
osobowych, o których mowa w art. 9 [Tak / Nie]
ust. 1, oraz danych osobowych
dotyczących wyroków skazujących i
naruszeń prawa,
o czym mowa w art. 10
(art. 37 ust. 1 lit. c RODO)
Prawo Unii lub prawo państwa
członkowskiego wymaga powołania
IOD [Tak / Nie]
w innych okolicznościach
(art. 37 ust. 4 RODO)
2. W związku z powyższym, powołanie IOD dla [FIRMA] [jest / nie jest] wymagane przez RODO. Niemniej jednak, [FIRMA] stanowi przedsiębiorstwo [rodzaj], działające na terenie [ADRES]. Z uwagi na [OKRES], należy wskazać, że zasadnym [jest / nie jest] jednak powołanie IOD. [UZASADNIENIE].
3. Stosownie do [art. 37 ust. 2 RODO, grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej]/[art. 37 ust. 3 RODO, jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości - jednego IOD]. W związku z powyższym, [rekomenduje się / nie rekomenduje się] powołanie jednego IOD dla [FIRMA] [I DALSZE INFORMACJE].
4. Stosownie do art. 39 ust. 1 RODO, do zadań IOD będzie należeć:
a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
b) monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, […];
c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
d) współpraca z organem nadzorczym;
e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego […].
5. Stosownie do art. 37 ust. 5 RODO, IOD należy wyznaczyć na podstawie kwalifikacji zawodowych […].
6. Stosownie do art. 37 ust. 7 RODO, dane kontaktowe IOD należy opublikować i terminowo zawiadomić o nich organ nadzorczy.
7. Stosownie do art. 38 ust. 1 i 2 RODO, IOD powinien być włączany we wszystkie sprawy dotyczące ochrony danych osobowych […].
8. Stosownie do art. 38 ust. 3 RODO, IOD nie otrzymuje instrukcji dotyczących swoich zadań […].
9. Stosownie do art. 39 ust. 1 RODO, inne zadania i obowiązki, które wykonuje IOD, nie mogą powodować konfliktu interesów.
[SYGNATURA]
Zalecamy rozważenie powołania jednego Inspektora Ochrony Danych dla firmy oraz przypominamy o konieczności spełnienia kwalifikacji zawodowych. Inspektor powinien być punktem kontaktowym dla organu nadzorczego i aktywnie monitorować zgodność z przepisami RODO.