Strefa wiedzy Capital Legal

Home > Strefa wiedzy > RODO > Inspektor ochrony danych – kto ma obowiązek powołania inspektora danych?

Inspektor ochrony danych – kto ma obowiązek powołania inspektora danych?

Kto ma obowiązek powołania inspektora danych osobowych? Czy każda firma ma obowiązek powołać inspektora ochrony danych osobowych ? Które firmy są zwolnione z tego obowiązku. Na te i podobne pytania dotyczące inspektora ochrony danych osobowych odpowiadamy na naszym blogu. Jeżeli zastanawiasz się, czy Twoja firma ma obowiązek powołać IOD – ten artykuł jest dla Ciebie.

RODO wymienia trzy kategorie podmiotów zobligowanych do wyznaczenia inspektora ochrony danych. W opisie przesłanek, których spełnienie skutkuje koniecznością powołania inspektora, RODO posługuje się licznymi pojęciami nieostrymi i zwrotami niedookreślonymi. Powoduje to, że dla wielu administratorów i podmiotów przetwarzających sama lektura przepisów Rozporządzenia nie pozwala precyzyjne ustalić, czy należą oni do jednej z tych trzech kategorii. Tymczasem podmiot, który nie powołał IOD, w sytuacji gdy był do tego zobowiązany, naraża się na ryzyko kar finansowych do 10 mln euro lub 2% całkowitego światowego rocznego obrotu.

Art. 37 ust. 1 RODO

Udzielenie odpowiedzi na pytanie, do jakich podmiotów skierowany jest obowiązek wyznaczenia IOD, wymaga analizy poszczególnych użytych w tym zakresie w RODO pojęć. Zgodnie z regulującym tę kwestię art. 37 ust. 1 RODO, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W pierwszej kolejności należy zauważyć zatem, że RODO nakłada obowiązek powołania IOD zarówno na administratora, jak i podmiot przetwarzający, o ile spełniają oni jeden z określonych wyżej warunków.

Organy i podmioty publiczne

Identyfikacja podmiotów należących do pierwszej grupy zasadniczo nie budzi wątpliwości. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych definiuje bowiem w art. 9 pojęcie „organów i podmiotów publicznych obowiązanych do wyznaczenia inspektora”, wskazując, że podmiotami tymi są:

  • jednostki sektora finansów publicznych (w szczególności organy władzy publicznej, w tym administracji rządowej, kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, ZUS, NFZ, etc.),
  • instytuty badawcze (w tym Instytut Badań Edukacyjnych, Instytut Meteorologii i Gospodarki Wodnej, Instytut Matki i Dziecka, czy też Naukowa i Akademicka Sieć Komputerowa),
  • Narodowy Bank Polski.

RODO zezwala, aby administratorzy i podmioty przetwarzające, będące organami lub podmiotami publicznymi, wyznaczały jednego inspektora ochrony danych dla kilku takich organów lub podmiotów.

Podmioty monitorujące dane na dużą skalę

Wątpliwości interpretacyjne może natomiast budzić określenie kręgu administratorów i podmiotów przetwarzających należących do drugiej kategorii, tj. podmiotów, których główna działalność „polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”. Aby ustalić, kto jest zobowiązany do powołania inspektora na powyższej podstawie, konieczne jest przeanalizowanie poszczególnych użytych w zacytowanym przepisie pojęć.

Główna działalność administratora

W pierwszej kolejności wyjaśnić należy określenie „główna działalność administratora lub podmiotu przetwarzającego”. Zgodnie z motywem 97 RODO, przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli stanowi ona jego zasadnicze, a nie poboczne czynności. Powinna to być zatem działalność kluczowa z punktu widzenia osiągnięcia celów administratora. Nie chodzi tu wyłącznie o przedmiot działalności gospodarczej klasyfikowany według kodów PKD i wpisany do Krajowego Rejestru Sądowego. Działalność główną można natomiast wskazać poprzez określenie czynności administratora związanych z prowadzeniem działalności, a następnie wykluczenie z ich zakresu tych działań, które, mimo że są niezbędne do prowadzenia działalności, to mają charakter pomocniczy, uzupełniający lub poboczny.

Operacje przetwarzania

Następnie rozważania wymaga kwestia, czy rozumiana w powyższy sposób główna działalność polega na „operacjach przetwarzania” wymagających „monitorowania osób, których dane dotyczą”. „Operacjami przetwarzania” są poszczególne czynności składające się na przetwarzanie danych osobowych, w tym, jak wskazuje RODO, zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Pojęcie danych osobowych wyjaśniamy szczegółowo w artykule na blogu – „Dane osobowe – co to oznacza”.

Monitorowanie osób, których dane dotyczą

Pojęcie„monitorowania osób, których dane dotyczą” to wszelkie formy śledzenia i profilowania – zarówno w sieci, w tym na potrzeby reklam behawioralnych, jak i poza nią. Przez „monitorowanie” rozumie się także stałą obserwację i kontrolę procesów lub zjawisk. Tym samym już w pojęciu monitoringu zapisana jest cecha ciągłości i trwałości obserwacji. Działania kontrolne dotyczące osób, których dane dotyczą podejmowane sporadycznie, czy nieregularnie nie będą zatem ich monitorowaniem.

Regularność i systematyczność

Aby monitorowanie skutkowało koniecznością powołania inspektora powinno być „regularne i systematyczne”. Grupa Robocza art. 29 (obecnie zastąpiona przez Europejską Radę Ochrony Danych – EROD) w swoich Wytycznych (Wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych z 13 grudnia 2016 r. zmienione i przyjęte 5 kwietnia 2017 r.) definiuje użyte w art. 37 RODO pojęcie regularnego monitorowania, jako prowadzonego stale, cyklicznie, w określonych odstępach czasu przez ustalony okres lub powtarzającego się okresowo. Systematyczne monitorowanie to zdaniem Grupy monitorowanie występujące zgodnie z określonym systemem, zaaranżowane, zorganizowane lub metodyczne. Może ono odbywać się w ramach generalnego planu lub być prowadzone w ramach określonej strategii. Przykładami takiego regularnego i systematycznego monitorowania są w szczególności: monitorowanie związane z obsługą sieci telekomunikacyjnej, świadczeniem usług telekomunikacyjnych, profilowaniem i ocenianiem dla celów oceny ryzyka (na przykład ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy). Stałym i systematycznym monitorowaniem jest także śledzenie lokalizacji (w tym w aplikacjach telefonicznych), monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych, monitoring wizyjny, jak również zarządzanie programami lojalnościowymi oraz posługiwanie się reklamą behawioralną.

Duża skala monitorowania

Aby opisane wyżej regularne i systematyczne monitorowanie wiązało się z obowiązkiem wyznaczenia IOD powinno, po pierwsze, być przedmiotem głównej działalności administratora (o czym była mowa wyżej), po drugie, występować na „dużą skalę”. Nie jest możliwe precyzyjne wskazanie, jaki rozmiar monitorowania stanowi już przedmiotową dużą skalę. Z motywu 91 RODO wynika jednak, że operacje przetwarzania o dużej skali służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym. Operacje te mogą wpłynąć na dużą liczbę osób, których dane dotyczą. Grupa Robocza w swoich wytycznych zaleca, by przy określaniu, czy przetwarzanie następuje na dużą skalę uwzględniać:

  • liczbę osób, których dane dotyczą (konkretna liczba osób lub procent społeczeństwa),
  • zakres przetwarzanych danych osobowych,
  • okres, przez jaki dane są przetwarzane,
  • zakres geograficzny przetwarzania danych osobowych.

Przykład: przetwarzanie danych pacjentów przez szpital, przetwarzanie danych osób korzystających ze środków komunikacji miejskiej przez podmioty zarządzające systemem komunikacji (np. śledzenie ich za pośrednictwem kart miejskich), przetwarzanie danych klientów przez banki albo ubezpieczycieli, przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki, przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Podmioty przetwarzające na dużą skalę dane wrażliwe

Zgodnie z RODO, obowiązek powołania IOD odnosi się także do podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Pojęcia „głównej działalności” oraz „dużej skali” zostały wyjaśnione powyżej. Analizy wymaga natomiast określenie „szczególnych kategorii danych osobowych”. Są one tradycyjnie nazywane danymi wrażliwymi lub sensytywnymi. Stosownie do art. 9 ust. 1 RODO należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Katalog tych kategorii jest zamknięty.

  • Przykład: podmioty lecznicze, przetwarzające dane o stanie zdrowia, czy też ogólnopolskie partie polityczne, przetwarzające dane ujawniające poglądy polityczne swoich członków.

Inne podmioty zobowiązane do powołania

RODO wymienia enumeratywnie podmioty, które są zobowiązane do powołania inspektora ochrony danych. Jednostki nienależące do żadnej z kategorii opisanych w art. 37 ust. 1 RODO mogą dobrowolnie wyznaczyć IOD.

Należy jednak pamiętać, że dobrowolnie wyznaczenie inspektora ochrony danych wiąże się z koniecznością przestrzegania tych samych obowiązków, jakie w świetle RODO ciążą na podmiocie zobligowanym do powołania IOD. Inaczej mówiąc, każdy administrator, który zdecydował się wyznaczyć inspektora jest traktowany w taki sposób, jakby był objęty przedmiotowym obowiązkiem i w tym zakresie może zostać objęty kontrolą PUODO. Zobowiązania te skutkują koniecznością ponoszenia nakładów finansowych wynikających z zatrudnienia odpowiedniej osoby na stanowisko IOD oraz zapewnienia jej odpowiednich zasobów materialnych, by mogła należycie wykonywać swoje obowiązki oraz utrzymywać fachowe kompetencje. Administrator, u którego działa IOD, powinien również podjąć pewne wysiłki organizacyjne, w tym zapewnić inspektorowi odpowiednią pozycję w strukturze organizacyjnej firmy (inspektor ochrony danych podlega wyłącznie najwyższemu kierownictwu w organizacji), umożliwić dostęp do danych osobowych i dokonywanych operacji przetwarzania. Ewentualne inne zadania powierzane osobie zatrudnionej do pełnienia funkcji IOD nie mogą powodować konfliktu interesów, ani uniemożliwiać wykonywania obowiązków. Nieprzestrzeganie tych obowiązków może skutkować nałożeniem na administratora kary pieniężnej.

O podstawach nałożenia oraz wysokości kar pieniężnych przewidzianych w RODO pisaliśmy w artykule „Kary za naruszenie RODO. Kto je ponosi i ile wynoszą”.

Kto ma obowiązek powołania inspektora danych osobowych?

RODO wymienia kategorie podmiotów, na których ciąży obowiązek powołania IOD. Poświęcony temu przepis opiera się na rozbudowanych definicjach oraz niejasnych i nieprecyzyjnych zwrotach. Każdy administrator i podmiot przetwarzający powinien przed przystąpieniem do przetwarzania danych dokonać analizy, czy ciąży na nim obowiązek wyznaczenia IOD zgodnie z RODO. Z uwagi na możliwe negatywne konsekwencje związane z niepowołaniem inspektora ochrony danych w sytuacji, gdy istnieje taki obowiązek (włącznie z możliwością nałożenia na administratora kary pieniężnej), warto podejść do analizy w sposób wnikliwy i dokonać oceny z uwzględnieniem wszystkich aspektów prowadzonej działalności.

Jeśli podmiot nie decyduje się na powołanie IOD, powinien on zabezpieczyć swoje interesy na wypadek ewentualnej kontroli w zakresie wykonania obowiązków związanych z wyznaczaniem inspektora. Warto zatem, aby wskazana wyżej analiza została udokumentowana (nawet w postaci zleconej prawnikowi opinii prawnej) i przechowywana w firmie razem z dokumentacją dotyczącą ochrony danych osobowych. Pozwoli to, w razie wątpliwości uzasadnić i wykazać przed organem nadzorczym przyczyny, dla których administrator lub podmiot przetwarzający uznał, że nie ciąży na nim obowiązek wyznaczenia IOD.

Nie wiesz, czy musisz powołać inspektora?

Jeśli zastanawiasz się, czy masz obowiązek powołania w swojej firmie inspektora ochrony danych, skontaktuj się z nami. Przeanalizujemy zakres prowadzonej przez Ciebie działalności związanej z danymi osobowymi i podpowiemy, czy musisz wyznaczyć IOD. Jeśli uznamy, że nie podlegasz takiemu obowiązkowi, sporządzimy opinię prawną, na którą będziesz mógł powołać się w razie ewentualnej kontroli PUODO.

Masz inne pytania związane z RODO? Zapoznaj się z usługami oferowanymi przez nas w zakresie ochrony danych osobowych. Zapraszamy do kontaktu telefonicznego lub e – mailowego, a także na spotkanie w naszym biurze zlokalizowanym bezpośrednio przy stacji metra Dworzec Gdański.

Udostępnij

Inne artykuły

Przeczytaj również

Kiedy należy zawrzeć i co powinna zawierać umowa o zachowaniu...

Kiedy należy zawrzeć i co powinna zawierać umowa o zachowaniu…

Więcej

Badanie stanu prawnego (due diligence) nieruchomości (cz. I)

Nabywanie i inwestowanie w nieruchomości jest jedną z najpopularniejszych transakcji…

Więcej

Zastrzeżenie tajemnicy przedsiębiorstwa w przetargu. Specyfikacja...

Postępowanie o udzielenie zamówienia publicznego, jak i umowa zawierana na…

Więcej

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Strona www.capitallegal.pl używa plików cookies w celach określonych w Polityce plików cookies ,w szczególności w celu zapewnienia prawidłowego działania i dostosowania wyglądu strony do indywidualnych preferencji użytkowników. Naciśnij „Akceptuję”, jeżeli zgadasz się na użycie plików cookies do celów opisanych w Polityce plików cookies . Jeśli nie wyrażasz zgody na używanie plików cookies należy je wyłączyć w ustawieniach Twojej przeglądarki. Wyłączenie plików cookies może jednak spowodować trudności w korzystaniu ze strony.
AKCEPTUJĘ