bankbiznes

Blog

Norbert Zalewski

|

|

Czy moja firma musi wyznaczyć Inspektora Ochrony Danych? Kiedy IOD w firmie jest obowiązkowy?

RODO obowiązuje wszystkie podmioty, które przetwarzają dane osobowe w związku ze swoją działalnością, niezależnie od ich wielkości. Obowiązek wyznaczenia inspektora ochrony danych, wynikający z tych przepisów, został jednak ograniczony tylko do tych podmiotów, które spełniają określone warunki. Kryterium wielkości podmiotu nie ma znaczenia, więc obowiązek powołania IOD – w konkretnych sytuacjach – obejmuje także małe i średnie przedsiębiorstwa.

Spis treści

Ustalenie, czy wymóg wyznaczenia IOD dotyczy naszej organizacji, ma istotne znaczenie, gdyż niewywiązanie się z tego obowiązku stanowi naruszenie przepisów RODO, co może skutkować nałożeniem kary finansowej przez organ nadzorczy. Tam, gdzie powołanie IOD nie jest wymagane przepisami, organizacje mogą wyznaczyć inspektora w ramach dobrych praktyk, a jego brak nie będzie stanowił naruszenia.

Jeśli jednak dojdzie do wyznaczenia inspektora, to jego funkcjonowanie musi odbywać się na warunkach określonych w RODO (art. 37–39). Konieczne jest m.in. odpowiednie umiejscowienie IOD w strukturze organizacji, zapewnienie braku konfliktu interesów, podległość wyłącznie najwyższemu kierownictwu oraz zagwarantowanie odpowiednich zasobów do realizacji zadań, w tym możliwości stałego podnoszenia kwalifikacji.

Dobrowolne powołanie IOD oznacza więc poddanie się rygorom RODO w zakresie jego funkcjonowania. Choć firmy — zwłaszcza z sektora MŚP — mogą postrzegać to jako dodatkowy koszt, inspektor ochrony danych może przynieść organizacji wymierne korzyści, wspierając compliance i wzmacniając zaufanie klientów.

W praktyce wiele organizacji ma trudności z ustaleniem, czy obowiązek wyznaczenia IOD ich dotyczy. Część powołuje inspektora „na wszelki wypadek”, inne niesłusznie zakładają, że nie muszą tego robić. Dlatego warto rzetelnie przeanalizować swoją sytuację, aby ocenić, czy brak wyznaczenia IOD nie stanowi naruszenia przepisów. Niniejszy artykuł krok po kroku przeprowadza przez kluczowe okoliczności, pomagając odpowiedzieć na pytanie: czy moja firma musi powołać inspektora ochrony danych?

Rozdział 1

Warto podkreślić, że Grupa Robocza Art. 29, będąca poprzedniczką Europejskiej Rady Ochrony Danych, w Wytycznych dotyczących inspektorów ochrony danych (WP 243 rev.01 – dalej: Wytyczne), zaleca, by organizacja dokumentowała wewnętrzny proces, w wyniku którego ustalono istnienie lub nieistnienie tego obowiązku (co jest zgodne z zasadą rozliczalności). Dokumentacja ta powinna być aktualizowana w razie potrzeby, np. gdy podmiot podejmuje nową działalność, która może wpływać na kwestię obowiązku powołania IOD.

Sytuacje, w których podmiot będący administratorem lub podmiotem przetwarzającym musi wyznaczyć inspektora ochrony danych, zostały wymienione w art. 37 ust. 1 RODO. W dalszej części artykułu szczegółowo przyjrzymy się każdej z przesłanek.

Przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (art. 37 ust. 1 lit. a RODO).

Ten punkt wydaje się nie budzić większych wątpliwości. Podmiot, który jest organem lub podmiotem publicznym, ma obowiązek wdrożenia IOD, przy czym RODO nie zawiera definicji organu lub podmiotu publicznego. Grupa Robocza Art. 29 w Wytycznych wskazała, że ich znaczenie powinno zostać określone na poziomie przepisów krajowych, wymieniła jednak, że do tych podmiotów najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również – na mocy prawa krajowego – szereg innych podmiotów prawa publicznego.

Polski ustawodawca w ustawie o ochronie danych osobowych (art. 9) określił organy i podmioty publiczne, o których mowa w tej przesłance i są to:

  1. jednostki sektora finansów publicznych,
  2. instytuty badawcze,
  3. Narodowy Bank Polski.

Jednostki sektora finansów publicznych

Katalog tych podmiotów jest określony w ustawie o finansach publicznych (art. 9). W ramach jednostek sektora finansów publicznych wymienia on:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;

2) jednostki samorządu terytorialnego oraz ich związki;

3) związki metropolitalne;

4) jednostki budżetowe;

5) samorządowe zakłady budżetowe;

6) agencje wykonawcze;

7) instytucje gospodarki budżetowej;

8) państwowe fundusze celowe;

9) ZUS i zarządzane przez niego fundusze oraz KRUS i fundusze zarządzane przez Prezesa KRUS;

10) Narodowy Fundusz Zdrowia;

11) samodzielne publiczne zakłady opieki zdrowotnej;

12) uczelnie publiczne;

13) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;

14) państwowe i samorządowe instytucje kultury;

15) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, instytutów działających w ramach Sieci Badawczej Łukasiewicz, banków oraz spółek prawa handlowego;

16) Bankowy Fundusz Gwarancyjny.

Przepis wyłącza spod obowiązku powołania inspektora ochrony danych sądy – jednak tylko w takim zakresie, który wiąże się ze sprawowaniem wymiaru sprawiedliwości. W pozostałym zakresie, sądy jako jednostki sektora finansów publicznych, mają obowiązek powołania IOD.

Instytuty badawcze

Instytuty badawcze to podmioty wymienione w ustawie o instytutach badawczych (art. 1 ust 1). Zgodnie z tym przepisem są to państwowe jednostki organizacyjne, wyodrębnione pod względem prawnym, organizacyjnym i ekonomiczno-finansowym, które prowadzą badania naukowe i prace rozwojowe ukierunkowane na ich wdrożenie i zastosowanie w praktyce. Tworzone są przez Radę Ministrów w drodze rozporządzenia.

Narodowy Bank Polski

To bank centralny Rzeczypospolitej Polskiej, zgodnie z ustawą o Narodowym Banku Polskim (art. 1).

Grupa Robocza Art. 29 stanęła na stanowisku, że obowiązek powołania IOD w ramach tej przesłanki powinien objąć również prywatne podmioty – zarówno osoby fizyczne, jak i prawne, które wykonują zadania w interesie publicznym lub sprawują władzę publiczną (np. w obszarze transportu publicznego, dostarczania wody i energii, infrastruktury drogowej, radiofonii i telewizji publicznej, budynków użyteczności publicznej, organy powołane dla zawodów regulowanych). Z punktu widzenia osób, których dane dotyczą, ich sytuacja jest wówczas porównywalna do tej, gdy dane są przetwarzane przez organy lub podmioty publiczne, zwłaszcza w kontekście celów przetwarzania oraz ograniczonej lub wręcz wyłączonej możliwości ich wpływu na ten proces. Choć w takich przypadkach RODO nie nakłada bezpośredniego obowiązku powołania IOD, to jest to rekomendowane jako dobra praktyka (należy przy tym pamiętać, że obowiązek może wynikać z pozostałych dwóch przesłanek).

Przykładem takiego podmiotu może być prywatny szpital realizujący kontrakt z NFZ, prywatna firma obsługująca komunikację miejską lub zarządzająca strefą płatnego parkowania w imieniu gminy lub miasta, przy czym dopuszczalność takiego powierzenia zadań powinna wynikać z odpowiednich przepisów.

Rozdział 2

Drugą przesłanką, której spełnienie przesądza o konieczności wyznaczenia IOD jest sytuacja, gdy:

Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (art. 37 ust. 1 lit. b RODO).

Zarówno ta, jak i kolejna przesłanka odnoszą się do przedmiotu działalności i składa się na nie kilka elementów.

Organizacja będzie zobowiązana do powołania inspektora ochrony danych, jeśli:

  1. dokonuje regularnego i systematycznego monitorowania osób, których dane dotyczą,
  2. monitorowanie to odbywa się na dużą skalę,
  3. działania te stanowią jego główną działalność.

Czym zatem jest główna działalność, regularne i systematyczne monitorowanie oraz duża skala? W RODO nie znajdziemy ich definicji, ale z pomocą przychodzą motywy preambuły RODO oraz Wytyczne Grupy Roboczej Art. 29.

Zacznijmy od wyjaśnienia pojęcia głównej działalności.

Główna działalność

Pomocny w ustaleniu znaczenia tego pojęcia jest motyw 97 RODO. W odniesieniu do sektora prywatnego wskazano w nim, że działalność główna odnosi się do zasadniczych, a nie pobocznych czynności. Z Wytycznych wynika, że „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Obejmuje ona więc także przetwarzanie danych osobowych, nierozerwalnie związane z podstawową działalnością organizacji, np.:

  • przetwarzanie danych z dokumentacji medycznej pacjenta jest nierozerwalnie związane z zapewnianiem opieki medycznej przez szpitale, wobec czego należy takie przetwarzanie traktować jako działalność główną;
  • prowadzenie monitoringu przez firmy ochroniarskie w sieci centrów handlowych i przestrzeni publicznej jest bezpośrednio związane z zapewnianiem ochrony, wobec czego takie przetwarzanie danych osobowych także należy do ich głównej działalności.

Natomiast działaniami, których nie należy uznawać za główną działalność, są te typowe dla większości organizacji, niezależnie od charakteru ich działalności, np. prowadzenie listy płac, korzystanie ze standardowej obsługi IT. Są to działania dodatkowe, wspierające, mające charakter pomocniczy. Nie są one celem same w sobie, lecz służą wsparciu działalności głównej.

Regularne i systematyczne monitorowanie

Monitorowanie

Pewną wskazówką w ustaleniu znaczenia tego pojęcia jest motyw 24 RODO. Wskazano w nim, że do uznania czynności za monitorowanie zachowania osób, których dane dotyczą, należy ustalić, czy są one obserwowane w Internecie, w tym czy podlegają profilowaniu, w szczególności w celu podjęcia decyzji, przeanalizowania lub prognozowania osobistych preferencji, zachowań i postaw tych osób. Odwołanie to należy jednak traktować pomocniczo, gdyż odnosi się do eksterytorialnego stosowania RODO, a nie bezpośrednio do omawianego pojęcia regularnego i systematycznego monitorowania.

Grupa Robocza Art. 29 w Wytycznych wskazuje, że monitorowanie obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych, zastrzega jednak, że monitorowanie nie odnosi się tylko do środowiska online. Dotyczy też ono ogólnie monitorowania osób, nie tylko ich zachowania. Wśród innych form monitoringu można wymienić tu przykładowo monitorowanie za pomocą kamer czy geolokalizatorów.

Regularne

Grupa Robocza Art. 29 definiuje to pojęcie jako:

  1. stałe monitorowanie albo występujące w określonych odstępach czasu przez ustalony okres,
  2. monitorowanie cykliczne albo powtarzające się w określonym terminie,
  3. odbywające się stale lub okresowo.

Systematyczne

By można było mówić o systematycznym monitorowaniu musi zachodzić przynajmniej jedna z poniższych okoliczności:

  1. występuje zgodnie z określonym systemem,
  2. jest zaaranżowane, zorganizowane lub metodyczne,
  3. odbywa się w ramach generalnego planu zbierania danych,
  4. przeprowadza się je w ramach określonej strategii.

Pojęcie regularności odnieść należy zatem do częstotliwości występowania, natomiast systematyczność należy rozumieć w kontekście istnienia założonego planu, systemu, według którego monitorowanie się odbywa.

W Wytycznych wymieniono przykłady przetwarzania, które może stanowić regularne i systematyczne monitorowanie:

  • obsługa sieci telekomunikacyjnej oraz świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie dla celów oceny ryzyka, np. kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy,
  • śledzenie lokalizacji, na przykład przez aplikacje mobilne,
  • programy lojalnościowe,
  • reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.

Jest to katalog otwarty, więc oczywiście w praktyce także inne działania mogą mieścić się w kategorii takiego monitoringu.

Przykładowo może to więc dotyczyć podmiotów takich jak: operatorzy sieci komórkowych, dostawcy Internetu, dostawcy usług hostingowych i poczty elektronicznej, agencje marketingowe, platformy do analityki internetowej, instytucje finansowe, banki, biura informacji kredytowej, zakłady ubezpieczeń, dostawcy aplikacji nawigacyjnych, aplikacji do zamawiania transportu,sieci handlowe, stacje paliw, linie lotnicze, sieci hotelarskie,sieci reklamowe, portale społecznościowe, platformy targetowania behawioralnego, producenci aplikacji i urządzeń wearables do monitorowania zdrowia i aktywności fizycznej, firmy ochroniarskie świadczące usługi monitoringu, operatorzy transportu publicznego monitorujący pasażerów, zarządcy nieruchomości komercyjnych takich jak np. centra handlowe, dostawcy mediów wdrażający inteligentne opomiarowanie, producenci sprzętów AGD i RTV z funkcjami „smart”.

Duża skala

Z motywu 91 RODO wynika, że przetwarzanie jest o dużej skali, gdy obejmuje znaczną ilość danych osobowych, ma zasięg regionalny, krajowy lub ponadnarodowy i może wpływać na dużą liczbę osób, których dane dotyczą, a także generować dla nich wysokie ryzyko, na przykład w związku ze stosowaniem nowej technologii na dużą skalę lub gdy operacje przetwarzania mogą utrudniać osobom, których dane dotyczą korzystanie z ich praw.

Grupa Robocza ART. 29 wskazuje, że nie ma możliwości wskazania konkretnej wartości, którą należy uznać za dużą skalę, zakłada jednak, że wraz z rozwojem praktyki wypracowane mogą zostać pewne standardy w tym zakresie.

Ustalając czy przetwarzanie odbywa się na dużą skalę należy wziąć pod uwagę:

  • liczbę osób, których dane dotyczą – może to być konkretna liczba, jak i procent danej populacji,
  • zakres przetwarzanych danych osobowych – im więcej różnych danych o osobie, tym większe prawdopodobieństwo występowania dużej skali,
  • czas trwania przetwarzania – długotrwałe przetwarzanie może wskazywać na dużą skalę,
  • obszar geograficzny przetwarzania – im większy zasięg (np. regionalny, krajowy) tym większe prawdopodobieństwo dużej skali.

Przykłady przetwarzania na dużą skalę:

  • szpital przetwarzający dane pacjentów,
  • firmy przetwarzające informacje o podróżach osób korzystających ze środków komunikacji miejskiej,
  • wyspecjalizowane podmioty śledzące w czasie rzeczywistym lokalizację np. klientów sieci fast food, dla celów statystycznych,
  • banki albo firmy ubezpieczeniowe przetwarzające dane swoich klientów,
  • wyszukiwarki internetowe przetwarzające dane do celów reklamy behawioralnej,
  • dostawcy usług telefonicznych lub internetowych przetwarzający dane np. dotyczące treści, ruchu, lokalizacji.

Za przetwarzanie na dużą skalę nie powinno być uznawane (motyw 91 RODO):

  • przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia,
  • przetwarzanie danych klientów przez pojedynczego prawnika.

Przetwarzanie danych lokalnie, obejmujące niedużą ilość danych, nie będzie stanowiło przetwarzania na dużą skalę.

Oceny czy spełnia się przesłanki należy zawsze dokonać kontekstowo, odnosząc się do konkretnego przypadku. W razie wątpliwości bezpieczniejszym rozwiązaniem jest przyjęcie występowania dużej skali i wyznaczenie inspektora ochrony danych.

Należy przy tym pamiętać, że do zaistnienia obowiązku powołania IOD, powyższe okoliczności muszą wystąpić łącznie. Brak któregokolwiek z tych elementów sprawia, że wyznaczenie inspektora nie będzie obowiązkowe.

Rozdział 3

Trzecią sytuacją, która wymaga powołania IOD jest ta, w której:

Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 (art. 37 ust. 1 lit. c RODO).

Pojęcie głównej działalności zostało wyjaśnione powyżej i ma ono odniesienie również do tej przesłanki.

Jeśli podmiot przetwarza na dużą skalę dane szczególnej kategorii lub dane o wyrokach skazujących oraz czynach zabronionych i powiązanych środkach bezpieczeństwa, i stanowi to jego główną działalność, a wówczas IOD musi być przez taką organizację wyznaczony.

Mogą to być np. szpitale, przychodnie, ośrodki badań klinicznych, laboratoria genetyczne, firmy biometryczne, zakłady ubezpieczeń, firmy świadczące outsourcing usług związanych z przetwarzaniem danych medycznych (np. dostawcy systemów dla szpitali do zarządzania danymi pacjentów).

Przypomnijmy:

Dane szczególnej kategorii, o których mowa w art. 9 to: informacje ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.

Natomiast przez dane dotyczące wyroków skazujących należy rozumieć wyroki skazujące w sprawach karnych. Zdaje się, że nie będą się tu mieściły informacje o wyrokach umarzających, warunkowo umarzających postępowanie albo uniewinniających (choć w doktrynie nie ma tu jednomyślności). Przez czyny zabronione należy rozumieć informacje o naruszeniach prawa (przestępstwa, wykroczenia), które znajdują się nie tylko w wyrokach sądowych (np. mandaty karne). Natomiast za powiązane środki bezpieczeństwa można uznać – zgodnie z prezentowanymi w doktrynie stanowiskami środki zabezpieczające z art. 93a Kodeksu karnego, środki zapobiegawcze, o których mowa w Rozdziale 28 Kodeksu postępowania karnego oraz (choć też niejednomyślnośnie) środki karne w rozumieniu art. 39 Kodeksu karnego.

Zakres art. 10 RODO nie obejmie zatem decyzji administracyjnych i orzeczeń innych niż w sprawach karnych (np. w sprawach cywilnych).

Jak widać, ustalenie czy nasza organizacja podlega obligatoryjnemu wyznaczeniu IOD może nie być łatwym zadaniem. Dokonanie takiej analizy jest jednak niezbędne, by móc należycie wywiązać się z obowiązków wynikających z RODO. Także tam, gdzie powołanie inspektora ochrony danych nie jest obowiązkowe, należy pamiętać o udokumentowaniu tego procesu, by w razie potrzeby mieć możliwość wykazania przed organem nadzorczym, że ocena została dokonana z uwzględnieniem wszystkich wymaganych czynników. Powinna być ona aktualizowana w razie zmiany okoliczności, które mogą mieć wpływ na ocenę tego obowiązku.

Warto podkreślić, że powołanie IOD to nie tylko spełnienie wymogu prawnego. To rzeczywista wartość dla firm i innych organizacji, mająca przełożenie na ich bezpieczeństwo finansowe i wizerunkowe, ułatwiająca zarządzanie ryzykiem i minimalizująca ryzyko kosztownych błędów. Dlatego też warto rozważyć wyznaczenie inspektora ochrony danych nawet wtedy, gdy nie jest to obowiązkowe.

Nasz wynik
Kliknij, żeby ocenić!
[Total: 0 Average: 0]
Więcej postów

Norbert jest doświadczonym redaktorem specjalizującym się w tematyce ekonomii, finansów i zarządzania. Pasjonuje się analizą rynków finansowych oraz nowoczesnymi strategiami biznesowymi. Prywatnie miłośnik literatury ekonomicznej i aktywnego stylu życia, lubiący dzielić się wiedzą i inspirować innych do świadomego zarządzania swoimi finansami.

Poprzedni post:
Następny post:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Insert math as
Block
Inline
Additional settings
Formula color
Text color
#333333
Type math using LaTeX
Preview
\({}\)
Nothing to preview
Insert
bankbiznes
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.