Kiedy należy wyznaczyć Inspektora Ochrony Danych?

Inspektor Ochrony Danych (IOD) to osoba, która pełni ważną rolę w organizacji. Administrator lub podmiot przetwarzający wyznacza Inspektora, aby ten wspierał go w przestrzeganiu przepisów dotyczących ochrony danych osobowych. IOD współpracuje z Urzędem Ochrony Danych Osobowych (UODO) oraz udziela niezbędnych informacji osobom, których dane są przetwarzane.

Kto może, a kto musi wyznaczyć IOD na podstawie RODO?

RODO określa obowiązek wyznaczenia Inspektora Ochrony Danych dla administratorów i podmiotów przetwarzających wówczas, gdy:

1. Przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

• Przez „organy i podmioty publiczne” obowiązane do wyznaczenia Inspektora Ochrony Danych, o których mowa powyżej, rozumie się jednostki sektora finansów publicznych, np. jednostki samorządu terytorialnego, uczelnie publiczne, instytuty badawcze oraz Narodowy Bank Polski.

2. Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;

• „Główną działalnością” jest działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Do czynności zasadniczych powinny być zaliczane czynności realizowane przez administratora bądź podmiot przetwarzający, które stanowią podstawowy przedmiot ich działalności, natomiast za czynności poboczne można uznać te działania, które towarzyszą czynnościom zasadniczym.

Dla przykładu, działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania Inspektora Ochrony Danych.

Innym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w prywatnych centrach handlowych i przestrzeni publicznej. Działalnością główną spółki jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że taka spółka również powinna wyznaczyć Inspektora Ochrony Danych.

• Pojęcie „regularnego i systematycznego monitorowania” obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Samo pojęcie nie jest jednak ograniczone jedynie do środowiska online i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą.

Określenie „regularne” oznacza jedno lub więcej z następujących pojęć: stałe albo występujące w określonych odstępach czasu przez ustalony okres; cykliczne albo powtarzające się w określonym terminie; odbywające się stale lub okresowo.

Sformułowanie „systematyczne” oznacza jedno lub więcej z następujących pojęć: występujące zgodnie z określonym systemem; zaaranżowane, zorganizowane lub metodyczne; odbywające się w ramach generalnego planu zbierania danych; przeprowadzone w ramach określonej strategii.

„Monitorowanie osób” oznacza zaś prowadzenie obserwacji osób i może dotyczyć ich zachowań, zainteresowań czy preferencji.

Wśród przykładów działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą można wymienić m.in.: świadczenie usług telekomunikacyjnych, profilowanie i ocenianie dla celów oceny ryzyka, na przykład dla celów oceny ryzyka kredytowego, śledzenie lokalizacji, na przykład przez aplikacje mobilne, programy lojanościowe reklamę behawioralną oraz monitoring wizyjny.

Dla zaistnienia obowiązku wyznaczenia Inspektora Ochrony Danych nie wystarczy wystąpienie jednego ze wskazanych powyżej elementów, wszystkie trzy elementy (działalność główna; regularne i systematyczne monitorowanie osób; duża skala przetwarzania) powinny wystąpić łącznie. Nawet jeżeli występują dwa spośród wskazanych powyżej elementów, a trzeci nie występuje, to administrator lub podmiot przetwarzający nie ma obowiązku wyznaczenia Inspektora Ochrony Danych.

3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych;

• Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”.

Przy określaniu, czy przetwarzanie odbywa się na „dużą skalę” powinno się uwzględnić następujące czynniki:

1. • liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
   • zakres przetwarzanych danych osobowych,
   • okres, przez jaki dane są przetwarzane,
   • zakres geograficzny przetwarzania danych osobowych.

Do przykładów „przetwarzania danych osobowych na dużą skalę” zaliczyć można m.in. przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności oraz przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich).

W definicji przetwarzania na „dużą skalę” nie mieści się m.in. przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza oraz przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

„Szczególne kategorie danych” to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Administratorom i podmiotom przetwarzającym zaleca się udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia Inspektora Ochrony Danych. Ma to na celu wykazanie, że dany podmiot dokonał stosownej analizy i uwzględnił  wymagania prawne w tym zakresie.

Jeśli dany podmiot nie ma obowiązku powołania IOD, a dobrowolnie się na wyznaczenie Inspektora decyduje, to wymagania wskazane w przepisach RODO dotyczące IOD  stosuje się tak jak w przypadku tego obligatoryjnego powołania.

Zgodnie z RODO, do zadań Inspektora Ochrony Danych należy:

1. • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie;
   • monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym np. szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty RODO;
   • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
   • współpraca z organem nadzorczym;
   • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Osoba wyznaczana do pełnienia funkcji Inspektora Ochrony Danych powinna znać przepisy prawa dotyczące ochrony danych osobowych, a także mieć wiedzę z zakresu systemów informatycznych i zabezpieczeń tego rodzaju systemów, w zakresie, w jakim są one wykorzystywane w danej jednostce organizacyjnej. Posiadanie wykształcenia w tym zakresie może być potwierdzone różnego rodzaju dokumentami.

Określenie „wiedza fachowa” powinno być rozumiane jako wiedza specjalistyczna, przewyższająca znacznie poziom wiedzy osoby zatrudnionej przy przetwarzaniu danych i przeciętnego użytkownika systemów informatycznych.

Administrator lub podmiot przetwarzający mają obowiązek zapewnić, aby Inspektor nie otrzymywał instrukcji dotyczących wykonywania zadań.

Oznacza to, że w ramach wypełniania zadań IOD nie może otrzymywać instrukcji dotyczących sposobu rozpoznania sprawy, środków jakie mają zostać podjęte czy celu jaki powinien zostać osiągnięty, czy też faktu, czy należy skontaktować się z organem nadzorczym. Nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów.

W ten sposób prawodawca unijny zapewnia IOD samodzielność, która ma być elementem niezależności Inspektora Ochrony Danych. Chodzi o to, aby IOD nie podlegał naciskom ze strony innych osób i mógł samodzielnie podejmować działania w ramach wykonywania swoich zadań.

Autor: Iza Grablewska