Zgodnie z motywem 97 RODO Inspektor Ochrony Danych (IOD) to osoba dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych powoływana przez administratora danych osobowych lub podmiot przetwarzający w celu wspomagania wewnętrznego przestrzegania przepisów RODO.
Zadaniem IOD jest informowanie o obowiązkach wynikających z RODO oraz innych przepisów chroniących dane osobowe, monitorowanie przestrzegania zasad ochrony danych osobowych, wdrażanie polityk oraz audyty i szkolenia personelu w dziedzinie ochrony danych. Ponadto IOD udziela zaleceń co do oceny skutków dla ochrony danych jak i monitorowania jej wykonania. Inspektor współpracuje z organem nadzorczym oraz pełni funkcję punktu kontaktowego tego organu.
Inspektor ochrony danych powinien być włączany we wszystkie sprawy dotyczące ochrony danych osobowych oraz mieć dostęp do danych osobowych i operacji przetwarzania, a także zasobów pozwalających mu wykonywać zadania i niezbędnych do utrzymania jego wiedzy fachowej. Jest on podmiotem niezależnym, także gdy pozostaje w stosunku pracy, w związku z czym nie może otrzymywać instrukcji ani poleceń, a podlega bezpośrednio najwyższemu kierownictwu w przedsiębiorstwie. Ciąży na nim również obowiązek zachowania tajemnicy w zakresie wykonywania swoich zadań oraz dbania, by w wykonywaniu przez niego jego obowiązków nie doszło do konfliktu interesów.
Inspektor Ochrony Danych - podstawy powołania
Możliwość lub obowiązek powołania Inspektora Ochrony Danych wynika z Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływie takich danych (Dz. Urz. UE L 2016 Nr 119, str. 1) (RODO). Przepisy unijne zawarte w rozporządzeniu znajdują bezpośrednie zastosowanie w prawie polskim i wprost nakładają prawa i obowiązki na polskich przedsiębiorców.
Nie regulują one jednak formy współpracy z IOD. W związku z tym nie ma konieczności zatrudniania inspektora na umowę o pracę ani w ogóle włączania IOD do personelu administratora/podmiotu przetwarzającego. Z treści przepisów wprost wynika dopuszczalność outsourcingu usług w tym zakresie.
Obowiązkowe powołanie Inspektora Ochrony Danych
Zgodnie z RODO w trzech przypadkach administrator/podmiot przetwarzający obowiązkowo powołują IOD, tj. gdy:
-
przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
-
główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
-
główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Dwie ostatnie przesłanki z powyżej wymienionych dotyczą przedsiębiorców.
Rekomendowane i dobrowolne powołanie IOD
RODO nie zawiera żadnych przeciwwskazań co do powoływania IOD w przypadku, gdy zgodnie z rozporządzeniem na administratorze nie ciąży taki obowiązek. Do zasad powoływania i funkcjonowania dobrowolnego IOD stosuje się odpowiednio regulacje dotyczące obowiązkowego Inspektora Ochrony Danych.
Dobrowolne wyznaczenie IOD może się okazać niezwykle pomocne dla przedsiębiorcy, ponieważ podmiot taki odciąży go w zakresie wykonywania obowiązków wynikających z RODO. Organy ochrony danych osobowych zachęcają do powoływania IOD również z uwagi na fakt, że taka praktyka podnosi poziom bezpieczeństwa ochrony danych osobowych.
Jak ocenić, kogo dotyczy obowiązek?
Kto zatem ma obowiązek, a kto jedynie możliwość powoływania IOD? Wszystko zależy od konkretnych okoliczności. Należy bowiem zbadać, czy w przedsiębiorstwie administratora:
-
główna działalność to przetwarzanie danych,
-
przetwarzanie to polega na systematycznym monitorowaniu osób/przetwarzaniu danych wrażliwych,
-
takie przetwarzanie odbywa się na dużą skalę.
Główną działalność należy rozumieć jako działalność nierozerwalnie związaną z osiąganiem celów przedsiębiorstwa. Będzie to również taka działalność, która nie jest zasadniczym rdzeniem przedsiębiorstwa, ale jest z nim ściśle związana. Oznacza to, że obowiązek powołania IOD nie dotyczy jedynie firm, które zajmują się przetwarzaniem danych, lecz także takich, które to przetwarzanie wykorzystują do prowadzenia innego rodzaju działalności.
Czym jest natomiast przetwarzanie na dużą skalę? RODO nie daje odpowiedzi na to pytanie. W motywie 91 wskazuje jedynie, że są to operacje przetwarzania, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. To praktyka będzie kształtować granice tej wartości.
Już obecnie w zaleceniach Grupy Roboczej art. 29 ds. ochrony danych pojawiły się następujące przykłady przetwarzania na dużą skalę:
-
przetwarzanie danych pacjentów przez szpital,
-
przetwarzanie danych dotyczących podróży osób korzystających z komunikacji miejskiej,
-
przetwarzanie danych geolokalizacyjnych w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz sieci fast food,
-
przetwarzanie danych klientów przez banki/ubezpieczycieli,
-
przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,
-
przetwarzanie danych dotyczących np. lokalizacji przez dostawców usług telefonicznych.
W przypadku obowiązku powołania IOD z uwagi na przesłankę systematycznego monitorowania danych, pomocny może okazać się z kolei motyw 24 preambuły RODO, który definiuje rozumienie regularnego i systematycznego monitorowania w internecie, stwierdzając, że przetwarzanie ma taki charakter, gdy osoby, których dane dotyczą, są obserwowane w internecie oraz potencjalnie mogą być następnie profilowane, w celu podjęcia decyzji dotyczącej tej osoby lub też prognozowania jej osobistych preferencji.
Przenosząc zatem powyższe na szerszy grunt – chodzi o stałe, powtarzające się, planowane i zorganizowane monitorowanie osób jako element szerszej strategii działania przedsiębiorstwa. Obowiązku powołania IOD nie będzie miał zatem taki przedsiębiorca, który co prawda przetwarza dane, ale cechy jego działalności nie wymagają regularnego monitorowania osób na dużą skalę.
W przypadku przesłanki obowiązkowego wyznaczenia IOD z uwagi na przetwarzanie szczególnych kategorii danych osobowych najważniejsze jest stwierdzenie, czy przedsiębiorca przetwarza tzw. dane wrażliwe. Są to w szczególności dane dotyczące pochodzenia rasowego i etnicznego, przekonań religijnych, światopoglądu, przynależności do związków zawodowych czy partii, poglądów politycznych, stanuzdrowia, kodu genetycznego, danych biometrycznych czy orientacji seksualnej.
Procedura w zakresie obowiązku wyznaczenia IOD lub braku takiego obowiązku
Jeżeli przetwarzanie danych osobowych przez twoje przedsiębiorstwo nie mieści się w żadnej z powyżej przedstawionych kategorii, to nie masz obowiązku wyznaczania IOD. Zgodnie z RODO w takim wypadku należy jednak udokumentować wewnętrzną procedurę, w której doszło do badania spełniania przez administratora tych przesłanek. Zgodnie z zasadą rozliczalności należy zatem stworzyć odpowiednią dokumentację w tym przedmiocie, która powinna być aktualizowana w razie podjęcia nowych czynności przetwarzania.