RODO  cz. III – Czy taki diabeł straszny jak go malują?

Inspektor Ochrony Danych

Na wstępie od razu przyznaję, że zapowiadanym tematem tego wpisu miały być obowiązki informacyjne i podstawy przetwarzania danych osobowych, ale postanowiłam trochę zmienić kolejność. 25 maja 2018 r. zbliża się wielkimi krokami, a wraz z tą datą wzrasta nam wszystkim ilość pracy związana z przygotowaniem się do RODO. Z mojej strony – wzrasta ilość audytów i wdrożeń, które prowadzę. I właśnie podczas takich audytów pada zwykle w pierwszej kolejności pytanie, odpowiedź na które stanie się tematem obecnego wpisu – czy mam obowiązek wyznaczyć Inspektora Ochrony Danych?

IOD – kto to taki??

RODO zastępuje administratora bezpieczeństwa informacji (ABI) funkcją inspektora ochrony danych (IOD). Zmiana ta bynajmniej nie jest jedynie zmianą w nazewnictwie, chociaż sama nazwa wywołuje całkiem przyjemne skojarzenia – gdy dodać do „Inspektora Ochrony Danych” słowo „osobowych” wychodzi nam skrót „IODO”, który mój znajomy ABI wymawia „joda”, co każdemu fanowi Gwiezdnych Wojen kojarzyć się może tylko w jeden sposób J

Głównym zadanie IOD, podobnie jak obecnie zadaniem ABI, jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. IOD ma informować administratora o spoczywających na nim obowiązkach, monitorować przestrzeganie tych obowiązków, szkolić pracowników, współpracować i pełnić funkcję punktu kontaktowego dla PUODO.

Podstawowa różnica pomiędzy ABI a IOD jest taka, że powołanie ABI jest w pełni dobrowolne, natomiast powołanie IOD, we wskazanych przypadkach, będzie obowiązkowe.

Obowiązek wyznaczenia inspektora ochrony danych spoczywa na administratorze i podmiocie przetwarzającym w sytuacjach gdy:

1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Oczywiście jeśli nie jesteśmy organem lub podmiotem publiczny, dotyczyć nas mogą tylko dwie pozostałe przesłanki. RODO niestety nie definiuje pojęć „główna działalność””, „regularne i systematyczne monitorowanie”, czy też „duża skala”. Jedynie motyw 97 wskazuje, że przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Przykładem głównej działalności (wskazanym przez Grupę Roboczą Art. 29 – zespół roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych),  której prowadzenie zobowiązuje do wyznaczenia IOD, jest prowadzenie szpitala przez podmiot leczniczy.

O ile ze stwierdzeniem, na czym polega nasza główna działalność, jesteśmy w stanie poradzić sobie bez większych problemów, o tyle dalej nie jest już tak prosto. O monitorowaniu zachowania osób, których dane dotyczą, wspomniano w motywie 24 RODO, w świetle którego pojęcie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Samo pojęcie nie jest jednak ograniczone jedynie do środowiska on-line i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań. Dla oceny, czy nasza działalność polega na regularnym monitorowaniu, możemy posłużyć się wskazówkami Grupy Roboczej Art. 29, która wskazuje, że regularne monitorowanie będzie miało miejsce, jeśli jest stałe albo występuje w określonych odstępach czasu przez ustalony okres, cykliczne albo powtarza się w określonym czasie – stale lub okresowo. Natomiast systematyczne monitorowanie Grupa Robocza Art. 29 określa jako działania występujące zgodnie z określonym systemem, zaaranżowane, zorganizowane lub metodyczne, odbywające się w ramach generalnego planu zbierania danych, przeprowadzone w ramach określonej strategii. I co z tego wynika? Tak na pewno, to jedynie tyle, że jako przykłady regularnego i systematycznego monitorowania osób wskazano działania polegające na świadczeniu usług telekomunikacyjnych, śledzeniu lokalizacji, np. przez aplikacje mobilne, programy lojalnościowe, monitorowaniu danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych.

Została nam jeszcze „duża skala”. Zgodnie z motywem 91RODO, operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Jak przykładowo wskazała Grupa Robocza Art. 29, przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Kto zatem musi wyznaczyć IOD (jodę)??

Na pewno nie można odpowiedzieć na to pytanie, wskazując zamknięty katalog podmiotów zobowiązanych do wyznaczenia IOD. Wydaje się jednak, że można pokusić się o stwierdzenie, że – co do zasady – większość z nas – małych i średnich przedsiębiorców – taki obowiązek ominie, jeżeli nasza działalność nie polega na świadczeniu usług leczniczych (dotyczy to wszystkich podmiotów poza jednoosobowymi praktykami lekarskimi), ani na śledzeniu i profilowaniu, przede wszystkim, w sieci. Oczywiście zasada zasadą, a każdy przypadek wymagać będzie indywidualnego rozważenia.

Jeśli nie trzeba, to czy można wyznaczyć IOD (jodę)?

Tak, jak najbardziej można. Możemy przecież chcieć pracownika, który zajmować się będzie ochroną danych osobowych w firmie. Pamiętajmy tylko, że jeśli dobrowolnie zdecydujemy się na wyznaczenie inspektora ochrony danych, zastosowanie znajdą wszystkie wymagania z RODO odpowiednio do jego wyznaczenia, statusu i zadań, tak, jakby wyznaczenie było obowiązkowe. INACZEJ będzie, gdy wskażemy (NIE wyznaczymy) pracownika albo zewnętrznego konsultanta (i nazwiemy inaczej jego funkcję), którzy będą zajmować się kwestiami ochrony danych osobowych w firmie, ale nie będą pełnili funkcji IOD.

Kto może zostać IOD?

Inspektor ochrony danych może być naszym pracownikiem lub wykonywać zadania na podstawie umowy o świadczenie usług – dopuszczalny jest więc outsourcing tej funkcji. Co do uprawnień do pełnienia funkcji IOD, RODO wskazuje jedynie, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. W razie wyznaczenia inspektora ochrony danych, administrator lub podmiot przetwarzający są zobowiązani do opublikowania jego danych kontaktowych (do czego powrócimy jeszcze przy okazji omawiania obowiązków informacyjnych) i zawiadomienia o nich PUODO.

Pewnym ułatwieniem w stosunku do obecnych przepisów dotyczących ABI, jest możliwość wyznaczenia jednego inspektora ochrony danych przez grupę przedsiębiorstw, przez którą RODO rozumie przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane, np. grupę kapitałową.

Podsumowując…

Z nowych regulacji RODO wynika, że:

– obecnie powołanie ABI jest w pełni dobrowolne, natomiast powołanie IOD, we wskazanych przypadkach, będzie obowiązkowe;

– nie tylko administratorzy danych, ale również procesorzy, tj. podmioty, którym administrator powierzył przetwarzanie danych osobowych, np. zewnętrzne podmioty obsługujące systemy informatyczne służące do przetwarzania danych osobowych (do tematu powierzenia danych do przetwarzania wrócimy w kolejnych wpisach), będą także w określonych przypadkach musieli wyznaczać IOD.

Aleksandra Otok – Zagajewska
radca prawny