31 lipca br. mija termin, w jakim przedsiębiorcy, którzy w myśl art. 37 RODO mają obowiązek powołania inspektora ochrony danych (IOD), muszą wyznaczyć na to nowe stanowisko odpowiednią osobę (o ile przed 25 maja nie mieli administratora bezpieczeństwa informacji). Do tego samego dnia muszą oni też zawiadomić o jego powołaniu prezesa Urzędu Ochrony Danych Osobowych. Problem w tym, że mogą to uczynić wyłącznie w formie elektronicznej, za pośrednictwem specjalnego formularza na stronie internetowej, a niestety system elektroniczny nie działa prawidłowo: zawiesza się, nie przyjmuje wniosków.

Wielu przedsiębiorców, którzy próbowali przed terminem spełnić obowiązek i złożyć zawiadomienie o powołaniu IOD w systemie UODO, skarży się, że mają z tym duże kłopoty. Wniosek można podpisać Profilem Zaufanym (poprzez e-PUAP) albo kwalifikowanym podpisem elektronicznym. I ci, którzy wybierają tę drugą drogę, mają największe problemy.
– Składający dokument przez e-PUAP muszą niekiedy wielokrotnie podejmować próby, aż wypełniony formularz zostanie przyjęty przez system. O ile, w ich przypadku, to się w końcu udaje, o tyle w przypadku składania formularza przy użyciu kwalifikowanego podpisu elektronicznego wielu przedsiębiorców nie jest w stanie, mimo wielu prób, doprowadzić sprawy do skutecznego finału – twierdzi Anna Kobylańska, adwokat, wspólnik w kancelarii Kobylańska & Lewoszewski. Sęk w tym, że uwierzytelnienie za pomocą kwalifikowanego podpisu elektronicznego jest jedyną opcją dla tych przedsiębiorców, którzy mają podwójną lub wieloosobową reprezentację.
Podobne doświadczenia ma również dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”. – Ani razu nie udało się mi i moim klientom wysłać formularza bez przeszkód. Albo nie chce on się w ogóle przesłać, albo czas oczekiwania na kod aktywacyjny jest bardzo długi. Zdarza się też, że po wpisaniu kodu najpierw strona długo się wczytuje, a następnie pojawia zupełnie pusta. Nie ma żadnej informacji na temat tego, czy formularz został wysłany, czy nie – opowiada dr Marlena Sakowska-Baryła. Prawniczka zauważa, że to poważny problem nie tylko dla firm, lecz także podmiotów publicznych, w tym małych przedszkoli. Ich pracownicy nie mogą sobie bowiem pozwolić na przesiadywanie nad formularzem do wieczora.
– Ponoć system lepiej działa późnym wieczorem oraz w dni wolne od pracy. Ale przecież w instytucjach publicznych nie ma obowiązku poświęcania prywatnego czasu na dokonywanie zgłoszeń, tym bardziej na prywatnych, niezabezpieczonych komputerach – mówi dr Marlena Sakowska-Baryła.

Najgorsze przed nami?

Prawnicy obawiają się, że prawdziwy armagedon rozpocznie się 31 lipca, kiedy mijał będzie ustawowy termin i przedsiębiorcy gremialnie rzucą się na wypełnianie obowiązku.
– Spodziewamy się, że takich przedsiębiorców będzie wielu. Do 25 maja powołanie ABI nie było bowiem obowiązkowe. Dlatego wielu przedsiębiorców nie decydowało się na taki krok. Albo zdarzało się, że nawet gdy powołali ABI, to nie rejestrowali go u generalnego inspektora ochrony danych osobowych. Biorąc pod uwagę, kto musi powołać IOD, grupa zobowiązanych jest bardzo szeroka. Zatem może być tak, że system w ostatnich dniach będzie jeszcze bardziej niesprawny – przewiduje jeden z prawników.

Czy UODO przymknie oko?

Przedsiębiorcy znaleźli się więc w trudnej sytuacji. Zasadniczo przepisy nowej ustawy pozwalają dokonać zgłoszenia drogą elektroniczną. To jedyna droga. Papierowej formy powiadomienia nie dopuszczają.
Tymczasem za złamanie obowiązków wynikających z art. 37 RODO grożą surowe sankcje – w tym m.in. administracyjna kara grzywny – w wysokości nawet do 10 mln euro lub do 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego (art. 83 ust. 4 lit. a RODO).
Co zatem powinni uczynić ci przedsiębiorcy, którzy z powodów technicznych nie złożyli zgłoszenia przed 31 lipca, albo ci, którzy nie zdołali uczynić tego w wymaganym terminie dwutygodniowym? Wyjaśnia nam to przedstawicielka UODO.
TO WARTO WIEDZIEĆ
Kto musi obowiązkowo powołać inspektora
Obowiązek wyznaczenia inspektora ochrony danych określony został w art. 37 ust. 1 RODO. Przepis ten mówi m.in., że muszą go powołać ci przedsiębiorcy (administratorzy i podmioty przetwarzające dane osobowe), których:
1) główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób na dużą skalę;
2) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Ponieważ interpretacja przepisu rodziła wiele niejasności – wyjaśnieniem zajęła się między innymi Grupa Robocza Art. 29. W praktyce – jak wyjaśnia UODO – inspektora muszą wyznaczyć przedsiębiorcy przetwarzający dane osobowe lub stosujący monitoring, m.in.:
– firmy świadczące usługi monitoringu,
– banki i firmy ubezpieczeniowe,
– firmy przetwarzające dane do celów reklamy behawioralnej przez wyszukiwarki,
– dostawcy usług telefonicznych lub internetowych,
– przedsiębiorcy przetwarzający dane osobowe wrażliwe, np. firmy świadczące usługi medyczne.
Może się też zdarzyć, że przedsiębiorca nie ma obowiązku powołania IOD, ale będzie chciał to uczynić dobrowolnie. RODO dopuszcza także taką możliwość.
Do kiedy powołać
Dla tych, którzy przed 25 maja br. nie posiadali ABI, a mają obowiązek wyznaczenia IOD – wyznaczono okres przejściowy. Mianowicie muszą oni powołać inspektora do 31 lipca br.
Pozornie nieco prostszą sytuację mają ci przedsiębiorcy, którzy posiadali wcześniej ABI. Od 25 maja stał się on inspektorem ochrony danych. I może pełnić tę funkcję nadal. Przy czym tutaj ważna uwaga! Trzeba pamiętać, że będzie pełnił tę funkcję do 1 września 2018 r.
Jeśli przedsiębiorca chce, aby dotychczasowy ABI był inspektorem ochrony danych także po tej dacie – do 1 września musi zawiadomić o tym prezesa UODO. Jeśli tego nie zrobi, po tym dniu status ABI wygaśnie.
W jakim terminie powiadomić
Obowiązek zawiadamiania prezesa UODO o powołaniu przez administratora IOD wskazuje art. 37 ust. 7 RODO. Zasadniczo należy to uczynić w terminie 14 dni od wyznaczenia.
Podobny termin obowiązuje, gdy przedsiębiorca decyduje się dokonać zmiany na stanowisku IOD.
Jednakże w okresie przejściowym, bezpośrednio po wejściu RODO, zostały przewidziane różne terminy na dopełnienie obowiązku powiadomienia. Zależą one od tego, czy dany przedsiębiorca (administrator lub przetwarzający) przed 25 maja 2018 r. miał powołanego administratora bezpieczeństwa informacji.
I tak ci, którzy mają obowiązek ustawowy powołania IOD, muszą powiadomić UODO:
– do 31 lipca 2018 r., gdy przedsiębiorca nie miał powołanego ABI przed 25 maja 2018 r. (art. 158 ust. 4 i 5 u.o.d.o.),
– do 1 września 2018 r., gdy przedsiębiorca wyznaczył ABI przed 25 maja 2018 r. (art. 158 ust. 1 i 2 u.o.d.o).
Jak wysłać zawiadomienie
Zawiadomienia należy dokonać drogą elektroniczną. Przygotowano specjalny formularz. Ponieważ pod powiadomieniem powinna podpisać się osoba uprawniona do reprezentowania podmiotu zgłaszającego, wymagane jest przy tym uwierzytelnienie albo za pomocą kwalifikowanego podpisu elektronicznego, albo za pomocą Profilu Zaufanego.
Formularz zawiadomienia można znaleźć na stronie: https://www.biznes.gov.pl/opisy-procedur/-/proc/871-zawiadomienie-o-wyznaczeniu-nowego-iod/45. Po wysłaniu zawiadomienia drogą elektroniczną przedsiębiorca otrzyma urzędowe poświadczenie przedłożenia.
Jakie koszty
Zgłoszenie IOD jest bezpłatne. Przy czym pewne koszty będą musieli ponieść np. ci przedsiębiorcy, którzy składać będą wniosek przez pełnomocnika. W takim wypadku trzeba pamiętać o opłaceniu opłaty skarbowej za pełnomocnictwo (17 zł).
Jakie sankcje za niedopełnienie obowiązków
Brak wyznaczenia IOD, mimo istnienia takiego obowiązku, może wiązać się z dotkliwymi sankcjami administracyjnymi:
• niefinansowymi – w grę wchodzi nawet całkowity zakaz dokonywania czynności przetwarzania danych;
• finansowymi – maksymalna kara może sięgnąć 10 mln euro lub do 2 proc. rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie będzie miała kwota wyższa).
Jakie są główne zadania IOD
Do głównych zadań IOD należy m.in.:
• pełnienie funkcji punktu kontaktowego między administratorem a UODO,
• współpraca z prezesem UODO,
• informowanie pracowników, którzy przetwarzają dane osobowe, o ich obowiązkach i doradzanie im w tych sprawach,
• przeprowadzanie szkoleń i audytów pracowników oraz monitorowanie przestrzegania przepisów o ochronie danych.