Inspektor Ochrony Danych - w jakich przypadkach jego powołanie jest obowiązkowe?
Autor: Jakub WezgrajData dodania: Kategoria: Administrator Bezpieczeństwa Informacji, Rozporządzenie ogólne o ochronie danych osobowych (RODO)
UWAGA już 17 czerwca 2021 bezpłatne szkolenie online *Inspektor Ochrony Danych – kiedy musi być powołany, a kiedy nie?*
- Inspektor Ochrony Danych (IOD) – czym tak naprawdę jest ta funkcja i za co jest odpowiedzialna?
- W których przypadkach powołanie Inspektora Ochrony Danych jest obowiązkowe, a w których fakultatywne?
- Wymagania kompetencyjne jakie muszą spełniać osoby powoływane do funkcji IOD’a – kto może pełnić tą funkcję. Które stanowiska pracy nie należy łączyć z funkcją Inspektora Ochrony Danych i dlaczego?
- Zasady wyznaczania Inspektora Ochrony Danych – co trzeba zrobić by wyznaczenie było skuteczne?
Zapraszamy na bezpłatne szkolenie online mec. Jakuba Wezgraja już 17 czrewca 2021 r.!
Szczegóły wydarzenia oraz rejestracja (KLIKNIJ)
Inspektor ochrony danych (IOD) to mówiąc ogólnie następca prawny Administratora Bezpieczeństwa Informacji (ABI), którego funkcja była przewidziana w nieobowiązującej już ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Inspektor Ochrony Danych został wskazany w art. 37-39 RODO.
RODO przewiduje jednak - w odróżnieniu od starej ustawy o ochronie danych osobowych - przypadki, w których powołanie Inspektora Ochrony Danych jest obowiązkowe.
W niniejszym artykule przedstawiam, które podmioty muszą liczyć się z obowiązkiem powołania IOD'a.
Kiedy powołanie inspektora ochrony danych będzie obowiązkowe?
Przypadki, w których wyznaczenie inspektora ochrony danych będzie obowiązkowe, zostały opisane w art. 37 ust. 1 RODO.
Zgodnie z jego treścią do powołania inspektora ochrony danych będą zobligowane:
- wszystkie organy lub podmioty publiczne (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
- administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na operacjach przetwarzania danych osobowych, które ze względu na ich charakter, zakres lub cele przetwarzania wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane te dotyczą,
- administratorzy danych oraz podmioty przetwarzające powierzone dane osobowe, których główna działalność polega na przetwarzaniu na dużą skalę tzw. szczególnych kategorii danych (o których mowa w art. 9 ust. 1 RODO) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa (o których mowa w art. 10 RODO).
Rozporządzenie przewiduje również możliwość, zgodnie z którą także przepisy prawa państw członkowskich (lub przepisy prawa Unii inne niż omawiane rozporządzenie) będą mogły przewidywać obowiązek wyznaczenia inspektora ochrony danych przez określone podmioty (tak stanowi art. 37 ust. 4 rozporządzenia). Tak więc przynajmniej teoretycznie wskazany powyżej katalog przypadków, w których wyznaczenie inspektora ochrony danych jest obligatoryjne, nie ma charakteru zamkniętego.
Uwaga:
13 grudnia 2016 r. opublikowano wytyczne tzw. Grupy Roboczej Art. 29 dotyczące funkcji Inspektora Ochrony Danych ("Guidelines on Data Protection Officers - "DPO's"). Wytyczne te warto brać pod uwagę przy interpretacji roli i statusu inspektora ochrony danych na gruncie przepisów RODO.
Pełna treść wytycznych w języku angielskim dostępna jest TUTAJ. Pojawiła się również nieoficjalna wersja polskojęzyczna dostępna TUTAJ.
Grupa Robocza Art. 29 jest niezależnym europejskim organem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych i prywatności. Jej wytyczne brane są pod uwagę między innymi przez Generalnego Inspektora Ochrony Danych Osobowych w ramach działalności orzeczniczej. Warto więc mieć je na względzie.
1) Organy lub podmioty publiczne
Art. 37 ust. 1 lit. a rozporządzenia stanowi, że inspektora ochrony danych musi wyznaczyć każdy organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości).
RODO nie definiuje jednak co należy rozumieć przez "organy lub podmioty publiczne", daje tym samym możliwość doprecyzowania katalogu tego typu podmiotów na gruncie ustawodawstw poszczególnych krajów członkowskich.
Natomiast doprecyzowanie pojęcia "organy lub podmioty publiczne" znajdujemy w nowej ustawie o ochronie danych osobowych, z dnia 10 maja 2018 r., która zaczęła obowiązywać w Polsce z dniem rozpoczęcia stosowania RODO (a więc 25 maja 2018 r.). Zgodnie z art. 9 tej ustawy przez organy i podmioty publiczne obowiązane do wyznaczenia Inspektora Ochrony Danych rozumie się:
- jednostki sektora finansów publicznych;
- instytuty badawcze;
- Narodowy Bank Polski.
Pojęcie jednostki sektora finansów publicznych zostało z kolei zdefiniowane w ustawie z dnia 27 sierpnia 2009 r. o finansach publicznych (art. 9). Zgodnie z tą ustawą za jednostki sektora finansów publicznych uznaje się:
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
- jednostki samorządu terytorialnego oraz ich związki;
- związki metropolitalne;
- jednostki budżetowe;
- samorządowe zakłady budżetowe;
- agencje wykonawcze;
- instytucje gospodarki budżetowej;
- państwowe fundusze celowe;
- Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
- Narodowy Fundusz Zdrowia;
- samodzielne publiczne zakłady opieki zdrowotnej;
- uczelnie publiczne;
- Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
- państwowe i samorządowe instytucje kultury;
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
Warto też się zastanowić, co w przypadku podmiotów z sektora prywatnego, które w ramach prowadzonej działalności gospodarczej realizują zadania publiczne zlecone przez administrację publiczną lub samorządową (np. prywatni przewoźnicy realizujący usługę transportu miejskiego czy też usługi komunalne). Tego typu podmioty nie można jednak literalnie traktować jako "organy lub podmioty publiczne" więc omawiane regulacje nie będą miały do nich bezpośredniego zastosowania. Grupa robocza art. 29 zaleca jednak, by tego typu podmioty na zasadzie dobrej praktyki również wyznaczały inspektora ochrony danych.
2) "Główna działalność", przetwarzanie danych na "dużą skalę" oraz "regularne" i "systematyczne" monitorowanie osób
Art. 37 ust. 1 lit. b RODO stanowi, że do wyznaczenia inspektora ochrony danych osobowych zobowiązane są również podmioty, których:
"główna działalność polega na operacjach przetwarzania danych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których te dane dotyczą, na dużą skalę".
Regulacja ta zawiera co najmniej 3 niedookreślone pojęcia, które są kluczowe dla ustalenia jakich podmiotów ona dotyczy:
- co oznacza "główna działalność" (w wersji anglojęzycznej RODO mowa jest o "core activities")?
- co oznacza przetwarzanie danych "na dużą skalę"? oraz
- kiedy dochodzi do "regularnego" i "systematycznego" monitorowania osób?
Warto też zaznaczyć, że powyższe przesłanki muszą być spełnione łącznie, aby konkretny podmiot był zobligowany do wyznaczenia inspektora ochrony danych.
a) "Główna działalność"
Odnosząc się do pojęcia głównej działalności musimy pamiętać o treści motywu 97 preambuły rozporządzenia, zgodnie z którą "(...) w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności (...)". Tak więc przetwarzanie danych będzie stanowiło "działalność główną" wówczas gdy podstawowa (kluczowa) działalność gospodarcza danego podmiotu nie będzie praktycznie możliwa bez przetwarzania danych osobowych.
Jako przykład Grupa robocza art. 29 wskazuje w swoich wytycznych szpitale (placówki lecznicze), których główna działalność polega na zapewnianiu opieki medycznej. Jednakże to zapewnienie opieki medycznej bezpośrednio związane jest z potrzebą przetwarzania danych osobowych pacjentów i bez tego nie byłoby możliwe (lekarze nie mogliby np. zapoznawać się z historią choroby pacjenta). Ponadto zgodnie z obowiązującymi w Polsce przepisami placówki lecznicze są zobowiązane prowadzić dokumentację medyczną (zawierającą dane osobowe pacjentów), są to więc czynności związane bezpośrednio z podstawową działalnością jaką jest opieka medyczna.
b) Przetwarzanie danych "na dużą skalę"
Jednocześnie przetwarzanie danych osobowych w przykładzie wskazanym powyżej (placówki lecznicze) odbywać się będzie zazwyczaj na "dużą skalę" (wyjątek mogą w tym przykładzie stanowić lekarze prowadzący indywidualną praktykę - zazwyczaj w takim wypadku nie będą przetwarzali danych "na dużą skalę"). To określenie również nie jest wprost zdefiniowane w treści rozporządzenia, ale pewne wskazówki do interpretacji zostały przedstawione w wytycznych Grupy roboczej art. 29. Zgodnie z nimi przy określaniu czy dochodzi do przetwarzania danych osobowych na "dużą skalę" należy brać pod uwagę takie czynniki jak:
- liczba osób, których przetwarzane dane dotyczą - konkretna liczba lub procent określonej grupy społeczeństwa,
- zakres przetwarzanych danych osobowych (a więc konkretnych kategorii danych które są przetwarzane np. imiona, nazwiska, adresy zamieszkania, wiek, płeć, informacje o stanie zdrowia, numery ewidencyjne takie jak PESEL/NIP - im szerszy zakres tym większe prawdopodobieństwo przetwarzania danych na dużą skalę),
- okres przez jaki dane są przetwarzane,
- zakres geograficzny przetwarzania danych osobowych (czy dzieje się to w ramach jednej miejscowości, powiatu, województwa, państwa, wielu państw etc.).
Biorąc pod uwagę powyższe czynniki warto zauważyć, że o przetwarzaniu danych na dużą skalę nie będziemy mówili wyłącznie wówczas, gdy operacjom tym będą podlegały dane dużej liczby osób. Może się zdarzyć również tak, że sama liczba osób których dane są przetwarzane nie jest aż tak wielka, ale sposób przetwarzania oraz zakres i charakter tych danych będą powodowały, że operacje te zostaną zaliczone do "dużej skali".
c) "Regularne" i "systematyczne" monitorowanie osób
Odniesienie do "regularnego i systematycznego" monitorowania znajduje się w motywie 24 Preambuły rozporządzenia. Zgodnie z jego treścią "Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw".
Przyjmuje się jednak, że pojęcie to nie powinno być ograniczone wyłącznie do przestrzeni online i przypadki śledzenia w internecie stanowią jedynie przykład monitorowania zachowań osób fizycznych (tak też wskazuje Grupa robocza art. 29 w swoich wytycznych).
Kiedy więc zdaniem Grupy będzie dochodziło do "regularnego" monitorowania? Wówczas gdy tego typu monitorowanie będzie obejmowało jedno lub więcej z poniższych pojęć:
- stałe lub występujące w określonych odstępach czasu przez ustalony okres,
- cykliczne albo powtarzające się w określonym terminie,
- odbywające się stale lub okresowo.
Z kolei monitorowanie "systematyczne" to takie, które zdaniem Grupy obejmuje jedno lub więcej z poniższych pojęć:
- występuje zgodnie z określonym systemem,
- jest zaaranżowane, zorganizowane lub metodyczne,
- odbywa się w ramach generalnego planu zbierania danych,
- jest przeprowadzone w ramach określonej strategii.
Podmioty zobligowane do wyznaczenia inspektora ochrony danych na podstawie art. 37 ust. 1 lit. b RODO
3) Podmioty przetwarzające tzw. szczególne kategorie danych oraz dane dotyczące wyroków skazujących i naruszeń prawa
Ostatnią grupą podmiotów zobligowanych do wyznaczenia inspektora ochrony danych na mocy RODO są te, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Zgodnie z treścią art. 9 ust. 1 RODO jako dane osobowe wrażliwe (szczególne kategorie danych) należy traktować dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych jak również dane genetyczne, dane biometryczne służące do jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej konkretnej osoby.
Aby ten przepis znalazł zastosowanie konkretny podmiot musi:
- przetwarzać tzw. dane wrażliwe oraz dane dotyczące wyroków skazujących i naruszeń prawa ...
- ... na dużą skalę i ...
- ... to przetwarzanie danych musi stanowić jego główną działalność.
Tylko spełnienie łącznie powyższych przesłanek powoduje, że konkretny podmiot będzie zobligowany powołać inspektora ochrony danych na podstawie art. 37 ust. 1 lit. c RODO.
W tym miejscu warto mieć na względzie, że sama stylistyka i konstrukcja tego przepisu budzi sporo kontrowersji. W wersji anglojęzycznej RODO przepis ten brzmi następująco: "the core activities of the controller or the processor consist of processing on a large scale of special categories of data pursuant to Article 9 and personal data relating to criminal convictions and offences referred to in Article 10". Zasadnicze pytanie brzmi czy wystarczy, żeby konkretny podmiot przetwarzał w ramach swojej głównej działalności i na dużą skalę tylko dane wrażliwe, o których mowa w art. 9 lub tylko dane dotyczące wyroków skazujących i naruszeń prawa, czy też musi przetwarzać obie grupy tych danych jednocześnie, aby powstał obowiązek wyznaczenia inspektora ochrony danych? W tym drugim przypadku zastosowanie tego przepisu byłoby o wiele mniejsze, ponieważ w praktyce podmiotów, które przetwarzają obie te grupy danych jednocześnie byłoby stosunkowo niewiele.
Jest to pytanie, na które zapewne odpowiemy sobie dopiero po jakimś czasie stosowania RODO, ale moim zdaniem raczej należałoby przyjmować, że nawet przetwarzanie jednej z tych grup danych przez konkretny podmiot będzie się wiązało z obowiązkiem wyznaczenia inspektora ochrony danych. Oczywiście pod warunkiem, że spełnione będą pozostałe kryteria w tym przepisie, a więc że te dane będą przetwarzane w ramach głównej działalności administratora danych oraz na dużą skalę.
Mój wniosek płynie z tego, że zarówno dane wrażliwe, o których mowa w art. 9 RODO jak i dane dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 rozporządzenia są związane z bardzo intymną sferą prywatności każdego człowieka. Przetwarzanie więc na dużą skalę choćby jednej z grup tych danych może być obarczone wysokim ryzykiem dla osób, których one dotyczą. W takim wypadku każdy administrator danych ma obowiązek zastosować dodatkowe środki bezpieczeństwa przewidziane w RODO, w tym np. musi przeprowadzić ocenę skutków dla ochrony danych, o której mowa w art. 35 RODO. Zgodnie z tym przepisem ocenę taką musi przeprowadzać każdy administrator danych, który przetwarza na dużą skalę dane wrażliwe (o których mowa w art. 9) lub też dane dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO. Wystarczy więc, że przetwarza jedną z tych grup danych osobowych, aby taki obowiązek musiał spełnić. Z kolei przy przeprowadzaniu oceny skutków dla ochrony danych kluczową rolę spełnia właśnie inspektor ochrony danych, tak więc powinien być on powoływany przez wszystkie podmioty, które są zobligowane do przeprowadzania takiej oceny.
Zobacz usługi ODOeksperta, które pomogą zrealizować ustawowe obowiązki
GDPR, inspektor ochrony danych, IOD RODO, obowiązkowe wyznaczenie inspektora ochrony danych, ochrona danych osobowych, przepisy prawa, RODO, unijne rozporządzenie o ochronie danych, wyznaczenie inspektora ochrony danych obowiązkowe gdy, wyznaczenie IOD