Sygnatariusze kodeksu postępowania dla prywatnych agencji badania opinii i rynku muszą powołać IOD

„Kodeks postępowania dotyczący przetwarzania danych osobowych przez prywatne agencje badawcze” przewiduje, że podmioty, które do niego przystąpią, zobowiązane są do wyznaczenia inspektora ochrony danych. Jednocześnie twórcy kodeksu zadbali, by przepisy tego dokumentu wspierały IOD w niezależnym wykonywaniu zadań, we właściwym wspieraniu administratora, a także w rozwoju zawodowym.

Jak informowaliśmy na naszej stronie internetowej, Prezes UODO 24 listopada 2025 r. zatwierdził kodeks postępowania dotyczący przetwarzania danych osobowych przez prywatne agencje badania opinii i rynku oraz udzielił akredytacji podmiotowi monitorującemu jego stosowanie. W materiale opublikowanym w związku z uroczystym wręczeniem dokumentów poświadczających te fakty omówiliśmy najważniejsze kwestie odnoszące się do nowego kodeksu, a w poprzednim wydaniu Biuletynu UODO opisaliśmy jedno z przewidzianych w nim rozwiązań – tworzenie tzw. Listy Robinsona.

Tym razem chcemy zwrócić uwagę na zawarte w tym dokumencie regulacje poświęcone roli inspektora ochrony danych (IOD).

Docenienie roli IOD

Twórcy kodeksu, dostrzegając szczególny wpływ IOD na właściwe ukształtowanie procesów przetwarzania danych osobowych w organizacji, która go powołuje, poświęcili mu osobny rozdział w tym dokumencie.

Jego przepisy stanowią, że agencje badawcze, które przystąpią do stosowania kodeksu, mają obowiązek wyznaczenia IOD. Wskazują, że zaletą wyznaczenia IOD jest zapewnienie Agencji badawczej dodatkowego merytorycznego wsparcia na płaszczyźnie zgodności przetwarzania danych osobowych z prawem. Wyznaczenie IOD może także stanowić jeden z elementów wykazywania przez Agencje przestrzegania RODO (zasada rozliczalności).

Jednocześnie rekomendują, aby osoba pełniąca funkcję IOD wspierała agencję badawczą w zakresie spraw dotyczących ochrony danych osobowych oraz uprawnień IOD wskazanych w RODO.

Łatwy kontakt

Kodeks przewiduje także, że informacja o wyznaczeniu IOD powinna być łatwo dostępna dla osób, których dane dotyczą, m.in. udostępniona na stronie internetowej. Wskazuje, że każda agencja badawcza powinna dokonać indywidualnej analizy w celu określenia miejsca umieszczenia danych kontaktowych IOD, tak aby umożliwić szybkie i łatwe ich wyszukiwanie. Zaleca jednak, aby taka informacja była zawarta w wyodrębnionej części strony internetowej dotyczącej ochrony danych osobowych, np. w zakładce kontakt, RODO itp.

Kodeks stanowi, że należy udostępnić takie dane IOD, jak:

▪ imię;

▪ nazwisko oraz

▪ adres poczty elektronicznej lub numer telefonu IOD.

Przeciwdziałanie konfliktowi interesów

Kodeks dopuszcza łączenie funkcji IOD z innymi obowiązkami. Zobowiązuje jednak agencje badawcze do przenalizowania, czy wykluczony został konflikt interesów, o którym mowa w RODO, oraz czy zakres dodatkowych obowiązków nie uniemożliwia IOD faktycznego realizowania jego obowiązków wynikających z przepisów ogólnego rozporządzenia o ochronie danych. Stosownie do Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243 rev. 01; przyjętych 13 grudnia 2016 r.; a następnie zmienionych i przyjętych 5 kwietnia 2017 r. i wciąż obowiązujących na gruncie RODO) IOD nie może w agencji badawczej zajmować stanowisk, na których są podejmowane decyzje co do celów i sposobów przetwarzania danych osobowych lub realizowane są obowiązki administratora.

Dlatego w kodeksie przewidziano, że tym samym, zależnie od rodzaju działalności, rozmiaru i struktury agencji badawczej dobrą praktyką może być m.in.:

▪ określenie stanowisk niezgodnych z funkcją IOD;

▪ opracowanie wewnętrznych zasad pozwalających uniknąć konfliktu interesów;

▪ zapewnienie bardziej ogólnego wyjaśnienia dotyczącego konfliktów interesów;

▪ zadeklarowanie, że IOD nie ma konfliktu interesów w odniesieniu do pełnionej przez siebie funkcji, w celu zwiększenia świadomości na temat tego wymogu;

▪ wprowadzenie zabezpieczeń do wewnętrznych zasad organizacji oraz zapewnienie, aby ogłoszenie o naborze na stanowisko IOD lub umowa o świadczenie usług były wystarczająco jasne i precyzyjne, aby uniknąć konfliktu interesów. W tym kontekście należy również mieć na uwadze, że konflikty interesów mogą przybierać różne formy w zależności od tego, czy rekrutacja na stanowisko IOD ma charakter wewnętrzny lub zewnętrzny.

Wsparcie ze strony administratora

W kodeksie zadbano też o umożliwienie IOD właściwego wypełniania zadań, w tym rozwoju zawodowego. Zapisano w nim bowiem: Administrator zobowiązany jest udzielić wsparcia IOD poprzez zapewnienie niezbędnych zasobów do wykonania tych zadań. Szczegółowych wskazówek w tym zakresie agencje badawcze powinny szukać w Wytycznych dotyczących inspektorów ochrony danych, stanowiskach i decyzjach Prezesa Urzędu Ochrony Danych Osobowych oraz orzecznictwie sądowym.

Podkreślono, że wytyczne dotyczące inspektorów ochrony danych opowiadają się za szerokim rozumieniem zasobów, do których zaliczyć należy m.in.:

▪ czas niezbędny do wywiązywania się z przydzielonych obowiązków;

▪ udzielanie wsparcia w postaci zasobów finansowych, infrastruktury (pomieszczenia, urządzenia, wyposażenia) oraz pracowników;

▪ oficjalne powiadomienie wszystkich pracowników o wyznaczeniu IOD w celu zapewnienia, aby wszyscy w organizacji wiedzieli o jego istnieniu i pełnionej przez niego funkcji;

▪ niezbędny dostęp do innych działów, np. HR, działu prawnego, informatycznego itd., w celu zapewnienia IOD niezbędnego wsparcia i informacji;

▪ doskonalenie zawodowe – IOD musi mieć zapewnioną możliwość ciągłego odświeżania wiedzy z dziedziny ochrony danych osobowych. Celem administratora powinno być ciągłe poszerzanie wiedzy IOD oraz zachęcanie go do udziału w kursach szkoleniowych poświęconych ochronie danych i innych formach doskonalenia zawodowego.