RODO w firmie

Czy działania podejmowane przez IOD w związku z wykonywaniem przez niego jego zadań mogą podlegać kontroli przeprowadzanej przez administratora bezpośrednio lub za pośrednictwem podmiotów, którym zleca on taką kontrolę, np. wewnętrznych lub zewnętrznych audytorów? Czy w jednostkach sektora finansów publicznych audytor może inspektorowi wydać zalecenia na gruncie przepisów dotyczących audytu wewnętrznego?

Niezależność IOD, o której mowa w motywie 97 RODO oraz w art. 38 RODO, jest jedną z najważniejszych gwarancji skutecznego i prawidłowego wykonywania jego zadań, a tym samym realnego zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa.

Jednocześnie to administrator ponosi pełną odpowiedzialność za zgodne z przepisami ochrony danych osobowych przetwarzanie danych. Inspektor ochrony danych podlega bezpośrednio administratorowi i w związku z tym sposób wykonywania funkcji przez IOD musi podlegać jego kontroli, przy czym może to być kontrola wewnętrzna lub zlecona przez administratora podmiotowi zewnętrznemu. W jednym i drugim przypadku taka kontrola (audyt) musi uwzględniać niezależne funkcjonowanie (gwarancje niezależności) IOD, tak wyraźnie podkreślane w RODO. Dotyczy to również wdrożonych w danej organizacji systemów wewnętrznej kontroli (systemy oceny zgodności). Systemy te nie mogą w jakikolwiek sposób ograniczać możliwości wykonywania przez IOD jego zadań, w tym dokonywania kompleksowej, bieżącej oceny zgodności przetwarzania danych osobowych z przepisami prawa.

Administratorzy będący jednostkami sektora finansów publicznych w celu zapewnienia zgodnego z prawem przetwarzania danych osobowych i właściwej organizacji bezpieczeństwa informacji korzystają z pomocy zarówno audytorów, jak i inspektorów ochrony danych. Audytor wewnętrzny dokonuje systematycznej oceny kontroli zarządczej, obejmując zasięgiem swojego działania wszystkie obszary jednostki, w tym działania podejmowane przez IOD. Sposób przeprowadzania audytu wewnętrznego został określony w przepisach prawa (m.in. w rozporządzeniu Ministra Finansów z dnia 4 września 2015 r. w sprawie audytu wewnętrznego oraz informacji o pracy i wynikach tego audytu), ale musi on uwzględniać przepisy RODO, w tym m.in. w art. 38 ust. 3 RODO.

Gdy audyt (kontrola) dotyczy pracy IOD, respektowanie niezależnego wykonywania jego zadań oznacza zakaz wydawania IOD przez osoby kontrolujące jakichkolwiek bezpośrednich poleceń/zaleceń odnośnie tych zadań. Ostateczne decyzje co do oceny wyników audytu dotyczącego prawidłowości wykonywania ciążących na IOD obowiązków podejmuje kierownik jednostki, a inspektor musi mieć możliwość przedstawienia swojego stanowiska. Racje obu stron powinny zostać uzasadnione i udokumentowane. Materiał ten może być przydatny w celach dowodowych w przypadkach oceny prawidłowości wykonywania funkcji IOD w kontekście jego odpowiedzialności na gruncie przepisów prawa pracy lub Kodeksu cywilnego (odpowiedzialności kontraktowej) albo odpowiedzialności karnoprawnej.

W jednostce samorządu, w której pełnię funkcję IOD, burmistrz zatrudnił inną osobę na stanowisku kierownika urzędu stanu cywilnego. Czy w takiej sytuacji kierownik urzędu stanu cywilnego jest administratorem przetwarzanych przez siebie danych osobowych? Jeśli kierownik USC jest administratorem, to nasuwa mi się kolejne pytanie, czy jest on zobowiązany do wyznaczenia inspektora ochrony danych? Moja wątpliwość wynika z faktu, że ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych w art. 9 wskazuje, że przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a RODO, rozumie się: jednostki sektora finansów publicznych, instytuty badawcze, Narodowy Bank Polski. Kolejne pytanie dotyczy formy w jakiej powinno nastąpić wyznaczenie inspektora przez kierownika USC?

Odpowiadając na pierwsze pytanie zauważyć należy, że ustawa z dnia 28 listopada 2014 r. Prawo o aktach stanu cywilnego określa wprost, kto realizuje cele z zakresu ustawy, w związku z tym, iż do dokonywania czynności z zakresu rejestracji stanu cywilnego został z mocy ustawy zobowiązany kierownik urzędu stanu cywilnego (art. 9 ustawy z dnia 28 listopada 2014 r. Prawo o aktach stanu cywilnego). Z tego względu należy uznać, iż to kierownik urzędu stanu cywilnego jest administratorem danych osobowych, niezależnie od tego, czy w określonej sytuacji faktycznie stanowisko to będzie piastować organ gminy – wójt (burmistrz, prezydent miasta) – czy inna osoba wyznaczona na to stanowisko przez wójta (burmistrza, prezydenta miasta) na podstawie art. 6 ust. 4 lub 5 ustawy Prawo o aktach stanu cywilnego.

Odnosząc się natomiast do pytania dotyczącego ewentualnego obowiązku wyznaczenia inspektora ochrony przez kierownika urzędu stanu cywilnego, w pierwszej kolejności stwierdzić należy, że wobec brzmienia art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, który to przepis prawa krajowego ustala kierunek interpretacji w polskim systemie prawnym, użytego w art. 37 ust. 1 lit. a RODO, pojęcia „organ lub podmiot publiczny”, nie można przyjąć, aby obowiązek wyznaczenia inspektora ochrony danych dla kierownika USC wynikał z przesłanki wymienionej w art. 37 ust. 1 lit. a RODO. Warto mieć jednak na uwadze, że nawet w sytuacji braku takiego obowiązku, administrator – kierownik urzędu stanu cywilnego – może dobrowolnie takiego inspektora wyznaczyć.

Jednocześnie należy przypomnieć, że art. 37 ust. 3 RODO dopuszcza możliwość wyznaczenia przez kilku administratorów jednego inspektora ochrony danych, przy uwzględnieniu jednak ich struktury organizacyjnej i wielkości. Zaznaczyć jednak należy, że skorzystanie z takiego rozwiązania wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych. Ocena tej kwestii zależna jest od wielu czynników, w tym m.in. od: dysponowania przez niego odpowiednią do zakresu zadań i specyfiki procesów przetwarzania danych ilością czasu, konieczności unikania konfliktu interesów oraz wielkości i struktury organizacyjnej jednostki będącej administratorem danych. Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy bowiem np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów, a także pełnienie punktu kontaktowego dla osób, których dane dotyczą oraz dla organu nadzorczego. Wobec tego decyzja w zakresie wyboru odpowiedniej osoby do pełnienia funkcji inspektora, musi być podejmowana przez administratora z pełną świadomością ciążącej na nim odpowiedzialności za prawidłową realizację ciążących na nim obowiązków wynikających z przepisów prawa. (więcej informacji na ten temat znaleźć można w  Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) oraz na stronie internetowej Urzędu w zakładce Inspektor Ochrony Danych, np. pod linkiem: https://uodo.gov.pl/pl/223/658).

Zatem w przypadku, gdyby burmistrz i kierownik USC wyznaczyli na swojego inspektora tę samą osobę powinni wspólnie określić zasady dotyczące zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomocy w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów.

Informujemy, że wyznaczenie do piastowania stanowiska kierownika urzędu stanu cywilnego innej osoby niż wójt (burmistrz, prezydent), który jest odrębnym administratorem, nie musi oznaczać konieczności stworzenia procedur i polityk ochrony danych dotyczących przetwarzania w tym obszarze w odrębnym dokumencie. Jedna dokumentacja może bowiem regulować kwestie ochrony danych dotyczące administratorów istniejących w ramach tej samej jednostki.

Warto także pamiętać, że jeśli kierownik USC decydowałby się na wyznaczenie inspektora, to on jako administrator powinien dokonać tego wyznaczenia, a także zawiadomić Prezesa UODO o jego wyznaczeniu.

Odnosząc się zaś do pytania dotyczącego formy czynności polegającej na wyznaczeniu inspektora, wskazać należy przede wszystkim, że przepisy RODO oraz ustawy o ochronie danych osobowych nie zwierają szczegółowych uregulowań w tym zakresie. Wobec tego decyzja w tej kwestii należy do administratora. Biorąc jednak pod uwagę zasadę rozliczalności, zgodnie z którą administrator musi być w stanie wykazać przestrzeganie przepisów w zakresie ochrony danych osobowych, co w praktyce najczęściej oznacza dokumentowanie wszelkich procesów związanych z ochroną danych osobowych, administrator powinien wybrać taką formę, która umożliwi mu wykazanie w szczególności: kiedy i kogo wyznaczył do pełnienia takiej funkcji.

Kto powinien zawiadomić Prezesa UODO o odwołaniu inspektora ochrony danych w przypadku likwidacji/przejęcia administratora, który wyznaczył tego inspektora (np. w przypadku likwidacji gimnazjum)?

Powiadomienia Prezesa Urzędu Ochrony Danych Osobowych o odwołaniu dotychczasowego inspektora ochrony danych powinien dokonać podmiot, który go wyznaczył. Obowiązek ten wynika z art. 10 ust. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r. poz. 1781).

W sytuacji zaś, gdy administrator nie zawiadomił Prezesa UODO o odwołaniu IOD, może to zrobić podmiot, który jest jego następcą prawnym, a zatem przejął prawa i obowiązki likwidowanego podmiotu, wstępując tym samym w jego prawa.

Na przykładzie gimnazjów wskazać można, że obowiązku zawiadomienia o odwołaniu IOD powinna była zatem dokonać placówka, która została zlikwidowana na mocy tzw. reformy systemu edukacji przeprowadzonej na podstawie przepisów Prawa oświatowego oraz ustawy z dnia 14 grudnia 2016 roku – Przepisy wprowadzające ustawę – Prawo oświatowe (Dz.U. z 2017 r. poz. 60, ze zm), dalej jako ustawa zmieniająca. Art. 117 ust. 4 ustawy zmieniającej wskazuje na podjęcie tzw. uchwał deklaratoryjnych, stanowiących akt przekształcenia placówki oświatowej. Należy wziąć pod uwagę także, czy gimnazjum zostało przekształcone w szkołę podstawową, czy zostało włączone do szkoły podstawowej, zgodnie z art. 129 ust. 1 ustawy zmieniającej.

Natomiast, zgodnie z art. 89 ust. 6 Prawa oświatowego, dokumentację zlikwidowanej szkoły publicznej przekazuje się organowi prowadzącemu szkołę, z wyjątkiem dokumentacji przebiegu nauczania, którą przekazuje się organowi sprawującemu nadzór pedagogiczny, w terminie jednego miesiąca od dnia zakończenia likwidacji.

Zatem w przypadku, gdy gimnazjum nie zawiadomiło o odwołaniu IOD, za wysłanie takiego zawiadomienia IOD odpowiedzialny jest ten podmiot, który jest następcą prawnym zlikwidowanego gimnazjum.

Źródło: UODO

Kwestia dopuszczalności jednoczesnego pełnienia funkcji inspektora ochrony danych i wykonywania zawodu radcy prawnego i adwokata w świetle przepisów regulujących wykonywanie tych zawodów stała się w 2018 r. przedmiotem skierowanych do obu samorządów wystąpień Prezesa UODO. Na prośbę Prezesa UODO  oba samorządy przedstawiły swoje opinie.

W opinii Naczelnej Rady Adwokackiej (NRA) wykonywanie zawodu adwokata nie wyklucza jednoczesnego pełnienia funkcji inspektora ochrony danych (IOD), bowiem przepisy RODO gwarantują IOD niezależność, co jest również podstawą wykonywania zawodu adwokata. Zadania powierzone IOD nie uwłaczają godności adwokata, nie ograniczają jego niezawisłości oraz nie podważają zaufania do adwokatury. W przypadku inspektora ochrony danych niezależność gwarantuje mu m.in. podległość najwyższemu kierownictwu, zakaz wydawania IOD instrukcji oraz zakaz odwołania IOD z powodu wykonywania przez niego jego zadań. Z uwagi na brzmienie art. 1 ust. 3 ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze (Dz. U. z 2018 r. poz. 1184 ze zm.) dopuszczalne jest pełnienie funkcji IOD przez adwokata na podstawie umowy cywilnoprawnej (art. 37 ust. 6 RODO). W swojej opinii NRA podkreśliła, że niezbędnym warunkiem jest poosiadanie przez adwokata wiedzy z zakresu ochrony danych osobowych zgodnie art. 37 ust. 5 RODO.

Krajowa Rada Radców Prawnych (KRRP) przekazała opinię, zgodnie z którą wykonywanie zadań IOD nie może być kwalifikowane jako podkategoria pojęcia świadczenia pomocy prawnej, chociaż te obszary mają pewne wspólne zakresy. Ze względu na określone ryzyka, w szczególności związane z potencjalnym  naruszeniem zasad etyki zawodowej oraz rozbieżnymi charakterystykami funkcji radcy prawnego oraz IOD, KRRP rekomenduje niełączenie wykonywania tych ról w ramach jednego podmiotu (administratora danych/klienta). KRRP wskazała również na konieczność posiadania przez IOD odpowiednich kwalifikacji , w szczególności w zakresie zadań leżących poza zakresem pojęcia świadczenia pomocy prawnej np. znajomości aspektów technicznych, funkcjonowania systemów informatycznych, bezpieczeństwa IT, oceny ryzyka, prowadzenia audytów.

Dostarczone przez samorządy opinie potwierdzają, że rzetelna analiza co do możliwości powierzenia IOD dodatkowych obowiązków powinna obejmować wiele aspektów związanych z regulacjami danego zawodu oraz statusem, zdaniami i wymaganiami w zakresie kwalifikacji stawianymi IOD. Należy podkreślić, że na administratorze spoczywa obowiązek zapewnienia, by powierzenie IOD dodatkowych zadań i obowiązków nie powodowało konfliktu interesów (art. 38 ust. 6 RODO).

Nie. Do pełnienia funkcji IOD musi być zawsze wyznaczona konkretna osoba fizyczna. Przepisy ustawy o ochronie danych osobowych wymagają, aby administrator i podmiot przetwarzający, którzy wyznaczyli IOD, udostępnili imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej, lub gdy administrator nie posiada własnej strony, w sposób ogólnie dostępny w miejscu prowadzenia działalności (art. 11). Imię i nazwisko konkretnej osoby pełniącej funkcję IOD należy też podać Prezesowi UODO, powiadamiając go o wyznaczeniu takiej osoby (art. 10 ust. 1 ustawy o ochronie danych osobowych).

IOD jest punktem kontaktowym dla osób, których dane dotyczą i organu nadzorczego zgodnie z art. 38 ust. 4 i art. 39 ust. 1 lit. e RODO. Zatem zarówno wewnątrz podmiotu będącego administratorem, jak i w relacjach zewnętrznych, dla wszystkich musi być jasne, jaka  konkretna osoba fizyczna pełni tę funkcję.

Przepisy prawa nie zawierają zakazu odnoszącego się do takiej sytuacji. Niemniej w każdym przypadku należy starannie przeanalizować i ocenić, czy określone relacje rodzinne nie będą miały wpływu na wykonywanie zadań i obowiązków IOD w sposób niezależny i nie będą powodować konfliktu interesów (art. 38 ust. 6 RODO). Istotą funkcji IOD jest obiektywne i niezależne wykonywanie zadań określonych w RODO(art. 39 ust. 1, Motyw 97 RODO).

IOD powinien w swoich działaniach opierać się na rzeczywistym stanie faktycznym badanej sprawy, nie powinien ulegać żadnym naciskom i podporządkowywać swoich opinii innym osobom. Jego nadrzędnym celem w każdej sytuacji powinno być zapewnienie, że przetwarzanie danych będzie następowało zgodnie z prawem.

Przepis dotyczący zadań inspektora ochrony danych (art. 39 ust. 2 RODO) wyraźnie wskazuje na konieczność dostosowania trybu i metod pracy do specyfiki przetwarzania danych oraz związanego z tym przetwarzaniem ryzyka. Inspektor ma wypełniać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. Chodzi tu o ogólną, zdroworozsądkową zasadę, którą IOD może odnieść do wielu aspektów swojej codziennej pracy. Wypełnianie zadań „z należytym uwzględnieniem ryzyka” wymaga od IOD ustalania priorytetów w swojej pracy i koncentrowania się na aspektach pociągających za sobą większe ryzyko.

Zdaniem Grupy Roboczej Art. 29, takie podejście powinno ułatwić IOD doradzenie administratorowi, m.in.:

• które obszary powinny zostać poddane wewnętrznemu albo zewnętrznemu audytowi,
• jakie szkolenia dla pracowników lub kierowników odpowiedzialnych za przetwarzanie danych należy przeprowadzić,
• na które operacje przetwarzania należy przeznaczyć więcej czasu i zasobów.

IOD wykonując swoje zadania (art. 39 ust. 2 RODO), powinien zatem stosować rozwiązania dostosowane do potrzeb podmiotów, w których pełni swoją funkcję, a także cech konkretnego przetwarzania danych i związanego z tym przetwarzaniem ryzyka. Konieczność realizacji obowiązków w powyższy sposób w konsekwencji ma prowadzić do skuteczniejszej ochrony danych.

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Podkreślenia wymaga jednak, że osoba wykonująca funkcję IOD na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.

Podkreślenia wymaga fakt, iż konieczne będzie zawiadomienie organu nadzorczego przez każdego z administratorów/podmiotów przetwarzających o wyznaczeniu konkretnej osoby oraz jak wynika z art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, podania następujących informacji tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

Zgodnie z przepisami RODO (art. 37 ust. 1) obowiązek wyznaczenia IOD występuje gdy:

• przetwarzania dokonują organ lub podmiot publiczny,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Sposób sformułowania przepisu określającego obowiązek wyznaczenia inspektora jest mało precyzyjny, ale takie sformułowanie zostało użyte celowo, właśnie po to, aby administrator danych samodzielnie dokonywał analizy sytuacji i ocenił, czy taki obowiązek w jego przypadku istnieje.

Co więcej – w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) zaleca się, aby przeprowadzenie oceny w zakresie istnienia obowiązku wyznaczenia inspektora udokumentować, a nawet powtarzać taką ocenę w razie potrzeby, co jakiś czas. Sytuacja danego podmiotu może się bowiem zmieniać. Na przykład mała przychodnia może stopniowo rozszerzać swoją działalność, obejmując o nowe usługi i świadczenia i po jakimś czasie stać się dużym podmiotem przetwarzającym dane wrażliwe na dużą skalę.

W celu ułatwienia administratorowi dokonania oceny, czy jest zobowiązany do wyznaczenia IOD, Grupa Robocza Artykułu 29 w powołanych wyżej wytycznych zawarła wskazówki, jak należy rozumieć „główną działalność” czy „dużą skalę”, a także wiele praktycznych, konkretnych przykładów sytuacji spełniających te kryteria. Wskazówki oparte są na założeniu, że wraz z rozwojem praktyki ukształtują się standardy, które umożliwią bardziej szczegółowe i/lub kwantytatywne zidentyfikowanie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania.

W Wytycznych zaznaczono, że w przypadku placówek medycznych główną działalnością jest wprawdzie zapewnianie opieki zdrowotnej, ale ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej. Jako przykład „działalności głównej polegającej na przetwarzaniu na dużą skalę wrażliwych danych osobowych” jest tam podana działalność szpitali. Natomiast jako przykład przetwarzania nie mieszczący się w definicji dużej skali - zgodnie z motywem 91 RODO - należy wskazać przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną).

Warto dodać, że na podstawie tych samych przesłanek RODO przewiduje obowiązek wyznaczenia IOD przez tzw. podmioty przetwarzające, czyli podmioty, które przetwarzają dane osobowe na zlecenie placówek medycznych w związku ze specjalistycznymi usługami, jakie dla nich świadczą, na przykład przechowują dokumentację medyczną lub serwisują sprzęt informatyczny czy diagnostyczny.

Centra Usług Wspólnych (CUW) są tworzone jako osobne podmioty, a domeną ich działań są najczęściej działania pomocnicze, wykonywane zarówno w odniesieniu do organów wykonawczych, jak i uchwałodawczych samorządu terytorialnego, jak również do obsługi poszczególnych jednostek organizacyjnych, między innymi urzędów, zakładów i jednostek budżetowych. Ostateczną decyzję, zarówno co do powołania samorządowego centrum usług wspólnych, jak i jego kształtu oraz zakresu realizowanych przez niego zadań, podejmuje organ stanowiący danej jednostki samorządu terytorialnego.

CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane. Może je przetwarzać w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tych jednostek (zgodnie z art. 10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6d ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym i art. 8f ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa). W zależności od różnych możliwych rozwiązań stosowanych przez konkretne samorządy, CUW może być natomiast administratorem danych np. swoich pracowników.

Na gruncie ogólnego rozporządzenia o ochronie danych obowiązek wyznaczenia inspektora ochrony danych w sektorze publicznym dotyczyć będzie wszystkich organów i podmiotów publicznych (art. 9 u.o.d.o.), zarówno tych będących administratorami danych, jak i podmiotami przetwarzającymi.

Niemniej nawet w sytuacji, gdyby miał być nim pracownik jednej z tych jednostek, np. pracownik CUW, konieczne jest osobne wyznaczenie IOD przez każdą z tych jednostek, np. każdą szkołę, dom kultury – jako osobnych administratorów. Zatem nawet jeżeli CUW świadczy obsługiwanym podmiotom usługi związane z szeroko rozumianą ochroną danych osobowych, nie jest uprawniony do wyznaczania inspektora ochrony danych w tych podmiotach. Obowiązek wyznaczania inspektora ochrony danych nie może być przeniesiony, np. w drodze uchwały czy porozumienia, na inną jednostkę organizacyjną, np. na CUW.

Każdy z podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych (niezależnie, czy będzie to jedna, ta sama osoba, czy różne osoby) będzie również  zobowiązany - zgodnie z art. 37 ust. 7 RODO  - do opublikowania danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego. Tak jak obowiązek wyznaczenia inspektora, tak i obowiązek powiadomienia o danych kontaktowych dotyczy zatem każdej jednostki samorządu terytorialnego, o której mowa w art. 37 ust. 1 lit. a RODO.