IOD (Inspektor Ochrony Danych)
IOD (Inspektor Ochrony Danych) — niezależny opiekun zgodności z RODO; obowiązkowy w określonych podmiotach.
ZmianyWPrawie monitoruje proces legislacyjny — to nie jest porada prawna. Treści mają charakter informacyjny i edukacyjny. Stan prawny zmienia się w czasie; zawsze weryfikuj w oficjalnym źródle (Sejm, RCL, ISAP, EUR-Lex) lub skonsultuj się z prawnikiem.
**Inspektor Ochrony Danych (IOD)** — angielskie **DPO (Data Protection Officer)** — to funkcja przewidziana w art. 37–39 RODO. IOD jest **niezależnym opiekunem zgodności organizacji z RODO**: doradza, monitoruje, szkoli, współpracuje z UODO oraz pełni rolę punktu kontaktowego dla osób, których dane dotyczą. RODO wymienia trzy przypadki obowiązkowego wyznaczenia; poza nimi można powołać IOD **dobrowolnie**, a polska ustawa o ochronie danych osobowych dodaje obowiązek **zgłoszenia IOD do Prezesa UODO**. Pojęcie towarzyszy [RODO](/slownik/gdpr-rodo), [naruszeniom ochrony danych](/slownik/naruszenie-ochrony-danych) i [podstawom prawnym z art. 6](/slownik/rodo-art-6-podstawy-prawne) — istotne zwłaszcza dla [e-commerce](/branze/e-commerce) i [biur rachunkowych](/branze/biura-rachunkowe).
Definicja
IOD to funkcja przewidziana w art. 37–39 RODO. Inspektor wspiera administratora (i podmiot przetwarzający) w realizacji obowiązków wynikających z RODO: doradza w sprawach ochrony danych, monitoruje przestrzeganie przepisów, prowadzi szkolenia i audyty, pełni rolę punktu kontaktowego dla osób, których dane dotyczą, oraz współpracuje z organem nadzorczym (w Polsce — Prezesem UODO). IOD raportuje najwyższemu kierownictwu organizacji i działa niezależnie — nie otrzymuje instrukcji w zakresie wykonywania zadań.
Kiedy IOD jest obowiązkowy
Art. 37 ust. 1 RODO przewiduje obowiązkowe wyznaczenie IOD w trzech przypadkach:
- Organy lub podmioty publiczne — z wyjątkiem sądów w zakresie sprawowania władzy sądowniczej (m.in. urzędy, szkoły publiczne, szpitale publiczne, gminy),
- Główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę — m.in. operatorzy telekomunikacyjni, duże platformy internetowe, sieci marketingu lokalizacyjnego, agencje detektywistyczne,
- Główna działalność polega na przetwarzaniu danych szczególnych kategorii lub danych karnych na dużą skalę — m.in. szpitale, kliniki, ubezpieczyciele zdrowotni, podmioty z sektora bezpieczeństwa.
Polska ustawa o ochronie danych osobowych dopuszcza także dobrowolne wyznaczenie IOD — administrator wówczas również musi spełnić wszystkie wymogi z art. 38–39 RODO. Grupa kapitałowa może wyznaczyć jednego IOD wspólnego dla kilku podmiotów, jeśli można się z nim łatwo skontaktować z każdego z nich.
Zadania IOD
Art. 39 RODO wymienia minimalny katalog zadań:
- Informowanie i doradzanie administratorowi, podmiotowi przetwarzającemu oraz pracownikom o obowiązkach z RODO i innych przepisów o ochronie danych,
- Monitorowanie przestrzegania RODO i polityk ochrony danych — w tym podziału obowiązków, szkoleń personelu i audytów,
- Udzielanie zaleceń co do oceny skutków dla ochrony danych (DPIA) oraz monitorowanie jej realizacji,
- Współpraca z UODO — m.in. w sprawach kontroli, postępowań i zgłoszeń naruszeń,
- Pełnienie funkcji punktu kontaktowego dla UODO oraz dla osób, których dane dotyczą, w sprawach przetwarzania danych i wykonywania ich praw.
IOD nie ponosi osobistej odpowiedzialności za nieprzestrzeganie RODO przez administratora — odpowiedzialność spoczywa na administratorze. IOD odpowiada wewnętrznie za jakość wykonywanych zadań w ramach umowy lub stosunku pracy.
Zakres obowiązków IOD ewoluuje z decyzjami UODO
Plan branżowy alarmuje o decyzjach UODO, wytycznych EROD oraz nowelizacjach ustawy o ochronie danych osobowych dotyczących IOD. 3 dni za darmo.
Wypróbuj plan branżowyNiezależność, ochrona i zgłoszenie do UODO
RODO wprowadza istotne gwarancje statusu IOD. Administrator zapewnia, że IOD nie otrzymuje instrukcji dotyczących wykonywania zadań, nie jest karany ani odwoływany za ich wykonywanie, oraz że bezpośrednio podlega najwyższemu kierownictwu. IOD powinien być wyznaczony na podstawie kwalifikacji zawodowych, w szczególności wiedzy fachowej o przepisach i praktykach ochrony danych — może być pracownikiem albo zewnętrznym usługodawcą.
Konflikt interesów — IOD nie może łączyć funkcji z innymi zadaniami w organizacji, które same wyznaczają cele i sposoby przetwarzania danych (np. kierownik IT, dyrektor HR, dyrektor marketingu na stanowiskach decyzyjnych). Polska ustawa o ochronie danych osobowych wymaga zgłoszenia wyznaczenia IOD Prezesowi UODO w terminie 14 dni od wyznaczenia — drogą elektroniczną. Dane kontaktowe IOD muszą być opublikowane (typowo w polityce prywatności i na stronie WWW).
Powiązane pojęcia
Pojęcia ściśle związane z IOD:
- RODO (GDPR) — całość rozporządzenia 2016/679,
- Podstawy prawne (art. 6) — IOD doradza w doborze podstaw prawnych przetwarzania,
- Naruszenie ochrony danych — IOD koordynuje obsługę naruszeń i zgłoszeń do UODO,
- Baner cookies — IOD weryfikuje zgodność banerów z RODO,
- ISAP — tam znajdziesz ustawę o ochronie danych osobowych,
- E-commerce — branża, w której obowiązek IOD często wynika z monitorowania użytkowników,
- Biura rachunkowe — typowy dobrowolny IOD wspierający obsługę klientów.
Najczęstsze pytania
Co to jest IOD?
IOD to Inspektor Ochrony Danych (Data Protection Officer, DPO) — funkcja przewidziana w art. 37–39 RODO. IOD doradza w sprawach ochrony danych, monitoruje zgodność z RODO, szkoli pracowników, współpracuje z UODO i pełni rolę punktu kontaktowego dla osób, których dane dotyczą. Działa niezależnie i raportuje najwyższemu kierownictwu organizacji.
Kiedy trzeba wyznaczyć IOD?
Art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia IOD w trzech przypadkach: gdy podmiot jest organem lub podmiotem publicznym (poza sądami w zakresie władzy sądowniczej); gdy główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę; gdy główna działalność polega na przetwarzaniu danych szczególnych kategorii lub karnych na dużą skalę.
Czy można wyznaczyć IOD dobrowolnie?
Tak. Polska ustawa o ochronie danych osobowych dopuszcza dobrowolne wyznaczenie IOD — administrator wówczas również musi spełnić wszystkie wymogi z art. 38–39 RODO (niezależność, ochrona przed odwołaniem, brak konfliktu interesów, raportowanie najwyższemu kierownictwu). Wyznaczenie dobrowolne także podlega zgłoszeniu do Prezesa UODO.
Jakie są zadania IOD?
Art. 39 RODO wymienia: informowanie i doradzanie administratorowi i pracownikom, monitorowanie przestrzegania RODO, udzielanie zaleceń co do oceny skutków dla ochrony danych (DPIA), współpracę z UODO oraz pełnienie funkcji punktu kontaktowego dla UODO i osób, których dane dotyczą. Katalog ma charakter minimalny — administrator może powierzyć IOD szersze zadania.
Czy IOD musi być pracownikiem firmy?
Nie. IOD może być pracownikiem administratora lub podmiotu przetwarzającego, ale równie dobrze może wykonywać zadania na podstawie umowy o świadczenie usług — to częsta praktyka, zwłaszcza w mniejszych podmiotach. Grupa kapitałowa może wyznaczyć jednego wspólnego IOD dla kilku podmiotów, jeśli można się z nim łatwo skontaktować z każdego z nich.
Jak zgłosić IOD do UODO?
Polska ustawa o ochronie danych osobowych wymaga zgłoszenia wyznaczenia IOD Prezesowi UODO w terminie 14 dni od wyznaczenia. Zgłoszenia dokonuje się elektronicznie przez platformę ePUAP lub formularz UODO. Każda zmiana danych IOD oraz odwołanie wymagają osobnego zgłoszenia — także w terminie 14 dni od zdarzenia.
Zmiany dla Twojej branży — dziennie na maila
Streszczenie projektu, ocena wpływu i linki do źródeł (Sejm, RCL, ISAP, EUR-Lex). Bez doradztwa — same fakty.
Zobacz plany