Urząd Ochrony Danych Osobowych (UODO) poinformował na swojej stronie internetowej o kolejnej nałożonej karze pieniężnej. Co ciekawe, powodem ukarania administratora (Powiatowy Inspektor Nadzoru Budowlanego w Częstochowie) są nieprawidłowości związane ze skutecznym powołaniem Inspektora Ochrony Danych (IOD) oraz brakiem umieszczenia na stronie internetowej danych kontaktowych do IOD. Kara to 25 000 zł, co stanowi 25% maksymalnej kary, którą regulator może nałożyć na organ publiczny.
Administrator miał obowiązek powołać IOD
Regulator podkreślił, że zgodnie z przepisami RODO (art. 37 ust. 1 lit. a) oraz art. 37 ust. 7), organ lub podmiot publiczny (za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości), jest zobowiązany do skutecznego wyznaczenia IOD, publikacji jego danych kontaktowych, jak również zawiadomienia o tym fakcie organu nadzorczego. Organ wskazał, że w toku postępowania ukarany administrator przedłożył kopię akt osobowych dwóch osób, które jego zdaniem pełniły funkcję IOD. Dokumenty te obejmowały m.in. zaświadczenie o ukończeniu szkolenia dla IOD, klauzulę informacyjną, czy też zakres czynności realizowanych przez IOD, na podstawie ustnego polecenia administratora. W ocenie Prezesa UODO, przekazane dokumenty jedynie w sposób pośredni mogły sugerować, że wskazane przez administratora osoby faktycznie pełniły funkcję IOD. Nie oznacza to jednak – jak wskazuje regulator – że doszło do skutecznego powołania IOD. Niewystarczające jest bowiem w tym zakresie jedynie ustne polecenie administratora.
IOD musi być powołany w odpowiedni sposób
Prezes UODO zwrócił uwagę, że skuteczne powołanie IOD oraz powierzenie mu określonych zadań musi być odpowiednio udokumentowane, aby administrator był w stanie wykazać te okoliczności organowi nadzorczemu. W związku z tym, w ocenie regulatora, administrator powinien zapewnić, aby dokument będący podstawą powołania IOD (np. zarządzenie, uchwała lub umowa), jednoznacznie wskazywał, że administrator powołał do sprawowania funkcji IOD konkretną osobę. Ważne jest przy tym, aby dokumenty te – w celach dowodowych – miały formę pisemną. Organ nadzorczy podkreślił, że administratorzy muszą również pamiętać o odpowiednim powierzeniu IOD realizacji obowiązków wynikających z RODO.
Kontakt do IOD musi być na stronie internetowej
Zgodnie z komunikatem opublikowanym na stronie UODO, po przeprowadzeniu postępowania przez Prezesa UODO, ukarany administrator skutecznie powołał konkretną osobę do pełnienia funkcji IOD, jak również zawiadomił o tym fakcie organ nadzorczy. Niestety jednak, do dnia wydania przez regulatora decyzji w tej sprawie (18 października 2024 r.), administrator nie opublikował danych kontaktowych do IOD, co prawdopodobnie również miało wpływ na nałożoną karę. Organ nadzorczy podkreślił bowiem, że publikacja danych IOD stanowi ważną gwarancję dla ochrony danych osobowych osób, których dane dotyczą.
Inne organy nadzorcze również nakładają kary za brak powołania IOD
Co ciekawe, kary za brak powołania IOD, w przypadku gdy jest to obowiązkiem administratora, nakładane były również przez organy nadzorcze z innych krajów. Na przykład, taką karę nałożył hiszpański organ właściwy do spraw ochrony danych osobowych (Agencia Española de Protección de Datos – AEPD) na spółkę Glovoapp23 S.L. (właściciela popularnej aplikacji Glovo). Hiszpański organ zarzucił spółce, że ta nie powołała IOD, podczas gdy w świetle przepisów RODO miała taki obowiązek. Kara w tym przypadku wynosiła 25 000 euro (ponad 100 000 zł).
Źródło:
https://uodo.gov.pl/pl/138/3421
