Po zmianie Inspektora Ochrony Danych (IOD) są Państwo zobowiązani do niezwłocznego poinformowania o tym fakcie wszystkich pracowników oraz inne osoby, których dane są przetwarzane. Najwłaściwszą formą będzie ogłoszenie wewnętrzne, na przykład poprzez e-mail, intranet lub na tablicy ogłoszeń. Nie ma obowiązku umieszczania tej informacji w aktach osobowych każdego pracownika. Ponadto, kluczowym obowiązkiem jest zgłoszenie zmiany IOD do Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia jego powołania.
Zmiana na stanowisku Inspektora Ochrony Danych w instytucji wiąże się z koniecznością dopełnienia dwóch kluczowych obowiązków przez administratora danych – jednego o charakterze zewnętrznym, skierowanego do organu nadzorczego, oraz drugiego o charakterze wewnętrznym, skierowanego do osób, których dane dotyczą, w tym pracowników.
Zgłoszenie zmiany do Prezesa Urzędu Ochrony Danych Osobowych
Podstawowym obowiązkiem formalnym jest zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych (UODO) o zmianie osoby pełniącej funkcję Inspektora. Zgodnie z art. 10 ust. 4 ustawy o ochronie danych osobowych, podmiot, który wyznaczył inspektora, ma obowiązek zawiadomić Prezesa Urzędu o jego odwołaniu oraz o wyznaczeniu nowego inspektora w terminie 14 dni od dnia zaistnienia zmiany. Zgłoszenia dokonuje się w formie elektronicznej, za pośrednictwem platformy UODO, opatrując je kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP. Zawiadomienie powinno zawierać dane nowego inspektora, takie jak imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu, a także dane samego administratora.
Obowiązek informacyjny wobec osób, których dane dotyczą
Drugim istotnym obowiązkiem jest poinformowanie o zmianie IOD osób, których dane osobowe są przetwarzane. Obowiązek ten wynika bezpośrednio z art. 11 ustawy o ochronie danych osobowych. Przepis ten stanowi, że podmiot, który wyznaczył inspektora, udostępnia jego dane (imię, nazwisko, adres e-mail lub numer telefonu) niezwłocznie po jego wyznaczeniu na swojej stronie internetowej, a jeżeli nie prowadzi strony internetowej – w sposób ogólnie dostępny w miejscu prowadzenia działalności.
W kontekście pracowników, którzy są jedną z głównych grup osób, których dane przetwarza pracodawca, realizacja tego obowiązku polega na zapewnieniu im łatwego dostępu do informacji o nowym IOD. Ustawa nie precyzuje formy tego komunikatu, wskazując jedynie, że ma być on „ogólnie dostępny”. W praktyce najczęściej stosowanymi i uznawanymi za prawidłowe formami są:
- publikacja w wewnętrznej sieci (intranet): umieszczenie informacji w dedykowanej zakładce dotyczącej ochrony danych osobowych,
- wiadomość e-mail: wysłanie komunikatu do wszystkich pracowników,
- ogłoszenie na tablicy informacyjnej: wywieszenie informacji w miejscu ogólnodostępnym dla załogi.
Informacja powinna zostać przekazana wszystkim obecnym pracownikom, a nie tylko nowo zatrudnionym, ponieważ każda z tych osób ma prawo wiedzieć, kto pełni funkcję IOD i jak można się z nim skontaktować.
Odnosząc się do pytania o umieszczanie informacji w aktach osobowych – nie ma takiego wymogu prawnego. Obowiązek informacyjny ma na celu zapewnienie transparentności i umożliwienie kontaktu z IOD, a nie dokumentowanie tego faktu w indywidualnej dokumentacji pracowniczej. Taka praktyka byłaby nadmiarowa i nie wynika z przepisów prawa.
