RODO

Instrtukcja pełnienia funkcji IOD i Specjalisty ds. RODO

Instrukcja dla Inspektora Ochrony Danych i specjalisty RODO – zakres zadań, uprawnień, tryb działania i dokumentowania czynności.

DOCX aktualizacja: 17 maja 2026 Wymaga konta
Dla kogo IOD, działy prawne, HR, zarząd
Zakres RODO

INSTRUKCJA WYPEŁNIENIA

Do czego służy: To wewnętrzny dokument organizacji opisujący, jak powołuje się Inspektora Ochrony Danych (IOD) i Specjalistę RODO, jakie mają zadania, uprawnienia i obowiązki sprawozdawcze oraz jak prowadzą szkolenia i rejestry czynności przetwarzania. Stanowi część dokumentacji RODO firmy/podmiotu.

Kiedy się go używa: Przy budowaniu lub aktualizacji dokumentacji ochrony danych - zwłaszcza gdy organizacja powołuje IOD (obowiązkowo m.in. organy publiczne oraz podmioty przetwarzające dane na dużą skalę lub dane szczególnych kategorii - art. 37 RODO) albo wyznacza osobę odpowiedzialną za bieżące sprawy RODO. Po powołaniu IOD organizacja ma 14 dni na zawiadomienie Prezesa UODO.

Podstawa prawna: art. 37-39 RODO (wyznaczenie, status i zadania IOD), art. 30 RODO (rejestry czynności), art. 35 RODO (ocena skutków - DPIA), art. 10 ustawy z 10 maja 2018 r. o ochronie danych osobowych (zawiadomienie o wyznaczeniu IOD). Stan prawny: 2025/2026 r.

Jak wypełnić - krok po kroku:

  1. “Podmiot” - w całym dokumencie słowo “Podmiot” oznacza Twoją organizację. Możesz raz na początku zdefiniować: Podmiot oznacza [ nazwa firmy/instytucji, adres, NIP ]. Nie trzeba zmieniać każdego wystąpienia.
  2. Decyzja, czy powołujesz IOD - jeśli organizacja nie ma obowiązku posiadania IOD i go nie powołuje, w sekcji III pkt 4 jest zapis, że obowiązki IOD realizuje Specjalista RODO; zostaw go i pomiń część dotyczącą zawiadomienia PUODO.
  3. Sekcja I pkt 4-8 (zawiadomienie PUODO) - dotyczy tylko sytuacji, gdy faktycznie powołujesz IOD. Sprawdź aktualny formularz zawiadomienia na stronie biznes.gov.pl oraz uodo.gov.pl - linki bywają aktualizowane.
  4. Sekcja I pkt 2 (dostępność IOD) - dostosuj wymagania dostępności (np. 1 dzień w tygodniu w siedzibie) do realiów Twojej organizacji; to ustalenia wewnętrzne, nie wymóg ustawowy.
  5. Sekcja III pkt 5 - jeśli nie powołujesz Specjalisty RODO jako osobnej roli, wskaż, kto pełni te obowiązki (np. IOD albo wyznaczony pracownik).
  6. Sekcja VI pkt 7 (zwolnienie z rejestrów) - sprawdź, czy Twoja organizacja spełnia łącznie warunki zwolnienia z prowadzenia rejestrów (mniej niż 250 osób, przetwarzanie sporadyczne, brak danych szczególnych, brak ryzyka). W praktyce większość firm i tak prowadzi rejestry.
  7. Sekcja IX (data obowiązywania) - wpisz datę wejścia instrukcji w życie.

Na co uważać / typowe błędy:

  • IOD musi mieć zapewnioną niezależność - nie wolno go karać ani odwoływać za wykonywanie zadań (art. 38 ust. 3 RODO). Funkcji IOD nie łączy się ze stanowiskiem, które samodzielnie decyduje o celach i sposobach przetwarzania (konflikt interesów).
  • Dane kontaktowe IOD muszą być opublikowane (strona internetowa) i zgłoszone do PUODO; aktualizuj je przy każdej zmianie - na zgłoszenie zmiany również jest 14 dni.
  • “Specjalista RODO” to rola wewnętrzna, nieobowiązkowa - nie myl jej z IOD; Specjalista nie reprezentuje organizacji wobec PUODO, chyba że dostał odrębne upoważnienie.
  • Instrukcję powinno przyjąć kierownictwo (np. zarządzeniem/uchwałą) i zakomunikować pracownikom.
  • Załączniki (wzory rejestrów) muszą być spójne - we wzorze źródłowym numeracja załączników była niespójna; ujednolicono ją w treści poniżej.

WZÓR

Instrukcja pełnienia funkcji Inspektora Ochrony Danych (IOD) i Specjalisty RODO

Podmiot: [ ……………….. ] (wpisz: pełną nazwę organizacji, adres siedziby, NIP zgodnie z KRS/CEIDG; dalej w dokumencie zwana “Podmiotem”)

I. Powołanie Inspektora Ochrony Danych

  1. Podmiot powołuje Inspektora Ochrony Danych (IOD) w celu zapewnienia realizacji zadań IOD określonych w RODO. IOD posiada odpowiednią wiedzę fachową i kwalifikacje zawodowe w zakresie RODO i ochrony danych osobowych, pozwalające na kompleksowe wsparcie Podmiotu we właściwej realizacji obowiązków RODO. W tym celu Podmiot wdrożył niniejszą Instrukcję.

  2. IOD może być zatrudniony w Podmiocie niezależnie od formy współpracy lub świadczyć usługę w formie outsourcingu. Podmiot zapewnia dostępność IOD w wymiarze: [ ……………….. ] (wpisz: ustalony wymiar dostępności, np. co najmniej 1 dzień roboczy w tygodniu fizycznie w siedzibie i co najmniej 3 dni w tygodniu zdalnie; dostosuj do potrzeb organizacji).

  3. Przy wyborze IOD Podmiot weryfikuje, czy kandydat nie będzie znajdował się w konflikcie interesów, w szczególności gdy funkcja IOD ma być łączona z innym stanowiskiem. Funkcji IOD nie można łączyć ze stanowiskiem, na którym samodzielnie ustala się cele lub sposoby przetwarzania danych osobowych.

  4. Po powołaniu IOD Podmiot w ciągu 14 dni:

  1. zawiadamia o tym Prezesa Urzędu Ochrony Danych Osobowych (PUODO);

  2. zamieszcza informację o imieniu, nazwisku oraz danych kontaktowych IOD na swojej stronie internetowej, w zakładce “Kontakt”, a jeżeli posiada zakładkę “RODO” - również w niej.

  1. Zawiadomienia dokonuje się elektronicznie przez platformę biznes.gov.pl lub przez elektroniczną skrzynkę podawczą (ePUAP / e-Doręczenia).

  2. Zawiadomienia dokonuje się na aktualnym formularzu opublikowanym przez PUODO. Aktualne formularze i instrukcje dostępne są na stronie: https://www.uodo.gov.pl oraz https://www.biznes.gov.pl (zweryfikuj aktualny adres formularza przed użyciem).

  3. Termin i tryb zawiadomienia stosuje się odpowiednio do:

  1. zmiany danych kontaktowych IOD;

  2. odwołania dotychczasowego IOD;

  3. odwołania dotychczasowego IOD i powołania nowego IOD;

  4. zmiany danych kontaktowych Podmiotu.

II. Status i zasoby Inspektora Ochrony Danych

  1. IOD bezpośrednio podlega najwyższemu kierownictwu Podmiotu.

  2. IOD nie otrzymuje instrukcji co do wykonywania swoich zadań i nie może być karany ani odwoływany za ich wypełnianie.

  3. IOD jest włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

  4. Podmiot zapewnia IOD:

  1. zasoby niezbędne do wykonania zadań, w szczególności wsparcie osób funkcyjnych w zakresie realizacji RODO;

  2. dostęp do danych osobowych i operacji przetwarzania;

  3. zasoby niezbędne do utrzymania wiedzy fachowej, w szczególności udział w szkoleniach, konferencjach i seminariach oraz dostęp do niezbędnych materiałów (publikacje, czasopisma branżowe).

  1. IOD umożliwia osobom zainteresowanym bezpośredni kontakt w sprawach związanych z przetwarzaniem ich danych osobowych przez Podmiot.

III. Specjalista RODO

  1. Specjalista RODO podlega bezpośrednio Podmiotowi.

  2. Specjalista RODO stosuje się do wytycznych i zaleceń IOD.

  3. Przy wykonywaniu obowiązków RODO Specjalista RODO jest niezależny od kierowników i ma prawo odmówić polecenia wydanego mu przez kierownika, jeżeli jest sprzeczne z RODO.

  4. Jeżeli w Podmiocie nie powołano IOD, jego obowiązki - w zakresie niezastrzeżonym przepisami wyłącznie dla IOD - realizuje Specjalista RODO.

  5. Specjalista RODO nie reprezentuje Podmiotu wobec PUODO i nie pełni funkcji punktu kontaktowego dla PUODO, chyba że Podmiot udzieli mu odrębnego, szczegółowego upoważnienia.

  6. Jeżeli Specjalista RODO ma także inne obowiązki niezwiązane z RODO, priorytety pracy w zakresie RODO ustala niezależnie od kierownika, któremu podlega w zakresie tych innych obowiązków, traktując obowiązki RODO priorytetowo. Specjalista RODO nie ponosi odpowiedzialności za opóźnienia w innych obowiązkach, jeżeli były one czasowo niemożliwe do pogodzenia z obowiązkami RODO.

IV. Zakres uprawnień IOD i Specjalisty RODO

  1. W zakresie realizacji swoich obowiązków IOD/Specjalista RODO może:

  1. żądać od każdej osoby upoważnionej, kierownika, IT, HR, innych osób funkcyjnych oraz podmiotu przetwarzającego pełnej i rzetelnej informacji dotyczącej przetwarzania danych osobowych;

  2. żądać sporządzenia zrzutu ekranu, kopii lub wydruku;

  3. dokonać oględzin pomieszczenia, systemu informatycznego, nośników danych osobowych;

  4. zatrzymać nośnik danych osobowych.

  1. Z dokonanych czynności IOD/Specjalista RODO sporządza notatkę zawierającą opis czynności oraz poczynione ustalenia.

  2. IOD oraz Specjalista RODO składają Podmiotowi roczne sprawozdanie z bieżących spraw związanych z przestrzeganiem RODO. Sprawozdanie obejmuje okres od 1 stycznia do 31 grudnia danego roku, jest składane do 31 stycznia roku następnego i zawiera:

  1. wykaz przeprowadzonych działań;

  2. zbiorczą informację o stanie ochrony danych osobowych w Podmiocie;

  3. zbiorczą informację o incydentach bezpieczeństwa danych osobowych;

  4. zbiorczą informację o realizacji praw osób, których dane dotyczą;

  5. zbiorczą informację o skargach osób, których dane dotyczą;

  6. szczegółową informację o kontaktach, wystąpieniach i kontrolach PUODO.

V. Prowadzenie szkoleń RODO

  1. Specjalista RODO zapewnia szkolenia wstępne, cykliczne oraz szkolenia organizowane zgodnie z zapotrzebowaniem.

  2. Szkolenia wstępne dotyczą podstawowych zasad przetwarzania danych osobowych w Podmiocie i są przeprowadzane dla każdej nowej osoby upoważnionej. Mogą odbywać się zbiorczo, jeżeli czas oczekiwania nie przekracza tygodnia od otrzymania upoważnienia.

  3. Szkolenia cykliczne dotyczą RODO, innych przepisów o ochronie danych lub przepisów wewnętrznych i odbywają się nie rzadziej niż raz na dwa lata dla każdej osoby upoważnionej. Mogą być prowadzone przez IOD, Specjalistę RODO albo osobę lub firmę zewnętrzną.

  4. Szkolenia zgodnie z zapotrzebowaniem odbywają się w związku z bieżącą potrzebą, w szczególności w związku z incydentem bezpieczeństwa danych, wynikiem oceny skutków dla ochrony danych, wprowadzeniem lub zmianą regulacji wewnętrznych, skargą osoby, której dane dotyczą, lub wynikiem audytu. Zapotrzebowanie może zgłaszać Podmiot, IOD, Specjalista RODO lub kierownik.

  5. Każdy uczestnik szkolenia organizowanego przez Specjalistę RODO potwierdza obecność pisemnym podpisem.

  6. Specjalista RODO prowadzi rejestr odbytych szkoleń RODO. Wzór rejestru szkoleń stanowi załącznik nr 1 do Instrukcji.

  7. Kierownik lub osoba upoważniona może zgłosić odbycie szkolenia niezorganizowanego przez Specjalistę RODO; każde odbyte szkolenie należy zgłosić Specjaliście RODO celem odnotowania w rejestrze.

VI. Prowadzenie rejestrów czynności przetwarzania

  1. Każda czynność przetwarzania danych osobowych jest wpisywana do:

  1. rejestru czynności przetwarzania - dla danych osobowych, których administratorem jest Podmiot;

  2. rejestru kategorii czynności przetwarzania - dla danych osobowych, wobec których Podmiot jest podmiotem przetwarzającym, a administratorem jest inny podmiot.

  1. Rejestr czynności przetwarzania zawiera co najmniej:

  1. nazwę i dane kontaktowe Podmiotu oraz współadministratorów, a gdy ma to zastosowanie - przedstawiciela Podmiotu oraz IOD;

  2. cele przetwarzania;

  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

  4. kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych;

  5. gdy ma to zastosowanie - informacje o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej wraz z dokumentacją odpowiednich zabezpieczeń;

  6. planowane terminy usunięcia poszczególnych kategorii danych;

  7. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

  1. Rejestr kategorii czynności przetwarzania zawiera co najmniej:

  1. nazwę i dane kontaktowe Podmiotu oraz każdego administratora, w imieniu którego działa Podmiot, a gdy ma to zastosowanie - przedstawiciela Podmiotu oraz IOD;

  2. kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

  3. gdy ma to zastosowanie - informacje o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej wraz z dokumentacją odpowiednich zabezpieczeń;

  4. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

  1. Rejestry przetwarzania prowadzi Specjalista RODO. Wzór rejestru czynności przetwarzania stanowi załącznik nr 2 do Instrukcji, a wzór rejestru kategorii czynności przetwarzania - załącznik nr 3 do Instrukcji.

  2. Rejestrów można nie prowadzić, jeżeli Podmiot spełnia łącznie następujące warunki:

  1. zatrudnia mniej niż 250 osób;

  2. przetwarzanie nie powoduje ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

  3. przetwarzanie ma charakter sporadyczny;

  4. przetwarzanie nie obejmuje danych szczególnych kategorii ani danych dotyczących wyroków skazujących i czynów zabronionych.

VII. Zgłaszanie informacji do rejestrów

  1. Kierownik lub inna osoba uprawniona do decyzji o rozpoczęciu, rozszerzeniu lub zmianie zakresu przetwarzania danych osobowych, o zawieraniu umów powierzenia lub o jakichkolwiek innych zmianach w przetwarzaniu, jest obowiązana zgłosić ten fakt Specjaliście RODO niezwłocznie po rozpoczęciu działań mających na celu wprowadzenie zmiany lub zawarcie umowy.

  2. Po otrzymaniu informacji o planowanym przetwarzaniu Specjalista RODO dokonuje weryfikacji:

  1. zgodności planowanego przetwarzania z ogólnymi zasadami przetwarzania danych osobowych;

  2. podstawy prawnej przetwarzania zgodnie z art. 6, 9 i 10 RODO;

  3. poprawności treści klauzuli zgody i sposobu jej pozyskiwania - jeżeli przetwarzanie ma odbywać się na podstawie zgody;

  4. poprawności treści i sposobu spełniania obowiązków informacyjnych;

  5. planowanych zabezpieczeń danych, w tym uwzględnienia ochrony danych w fazie projektowania oraz domyślnej ochrony danych;

  6. konieczności przeprowadzenia oceny skutków dla ochrony danych (DPIA), a w razie potrzeby - jej przeprowadzenia i sporządzenia raportu;

  7. poprawności planowanej treści umowy powierzenia przetwarzania - jeżeli wiąże się z tym powierzenie przetwarzania;

  8. zapewnienia wystarczających gwarancji przez planowany podmiot przetwarzający - jeżeli planowane jest powierzenie przetwarzania przez Podmiot;

  9. podstaw prawnych transferu - jeżeli planowany jest transfer danych poza Europejski Obszar Gospodarczy.

  1. Specjalista RODO ocenia planowane czynności pod względem zgodności z RODO i wydaje akceptację lub odpowiednie rekomendacje.

VIII. Weryfikacja informacji zawartych w rejestrach

  1. Specjalista RODO podejmuje czynności kontrolne celem ustalenia poprawności składanych informacji, jeżeli:

  1. przekazane informacje są niepełne;

  2. przekazane informacje nie pozwalają na rzetelną weryfikację czynności przetwarzania przed jej wpisem do rejestru;

  3. okoliczności przetwarzania wzbudzają podejrzenie co do zgodności z RODO.

  1. Specjalista RODO raz w roku przeprowadza weryfikację aktualności informacji zawartych w rejestrach.

  2. Specjalista RODO może wszcząć procedurę weryfikacyjną, w tym kontrolę każdej czynności przetwarzania, celem sprawdzenia poprawności informacji w rejestrach.

IX. Postanowienia końcowe

Niniejsza Instrukcja obowiązuje od [ ……………….. ] (wpisz: datę wejścia w życie, np. 1 czerwca 2026 r.).

Załączniki:

  • Załącznik nr 1 - wzór rejestru szkoleń RODO;
  • Załącznik nr 2 - wzór rejestru czynności przetwarzania;
  • Załącznik nr 3 - wzór rejestru kategorii czynności przetwarzania.

Zatwierdził (kierownictwo Podmiotu): [ ……………….. ] (wpisz: imię, nazwisko, funkcja, data, podpis osoby uprawnionej do reprezentacji)

🔒
Czytaj dalej po zalogowaniu

Pełny dostęp do dokumentu jest bezpłatny dla zarejestrowanych użytkowników BizNews Academy.

Zaloguj się lub załóż konto

Rejestracja jest bezpłatna i zajmuje 30 sekund.

Bezpłatny dla konta BizNews
Zaloguj się, aby pobrać Zapytaj o szczegóły

Dokumenty premium są bezpłatne dla zalogowanych użytkowników.

BizNews Academy · Biblioteka premium · biznewsacademy.pl
Fedaris sp. z o.o. · ul. Długa 29, 00-238 Warszawa