Obraz Gerd Altmann z Pixabay

Kto musi wyznaczyć Inspektora ochrony danych? Jakie firmy muszą mieć IOD?

Odpowiedź na pytanie kto musi wyznaczyć Inspektora ochrony danych możemy znaleźć w artykule 37(1) RODO. Artykuł ten wskazuje na obowiązek wyznaczenia IOD w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Sektor publiczny

Obowiązek wyznaczenia IOD ma miejsce w przypadku wszystkich organów i podmiotów publicznych. Tu nie mamy większych wątpliwości. Każdy organ publiczny, nie istotne jak dużo danych przetwarza, musi mieć swojego Inspektora.

Organy i podmioty publiczne obowiązane do wyznaczenia inspektora to:

  1. jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne),
  2. instytuty badawcze,
  3. Narodowy Bank Polski,

Dodatkowo, przez inne osoby fizyczne i prawne podlegające prawu publicznemu lub prywatnemu, mogą być realizowane zadania w interesie publicznym lub może być sprawowana władza publiczna. Na przykład może mieć to miejsce w sektorach takich jak:

  • transport publiczny,
  • dostarczanie wody i energii,
  • infrastruktura drogowa,
  • radiofonia i telewizja publiczna,
  • budynki użyteczności publicznej
  • organy powołane dla zwodów regulowanych.

W powyższych sytuacjach zaleca się powołanie IOD, w ramach dobrych praktyk. Wynika to z faktu, że możliwość wpływu osób, których dane dotyczą, na przetwarzanie ich danych może być ograniczona, bądź wyłączona. Tak naprawdę sytuacja osób, których dane dotyczą może być bardzo podobna do sytuacji przetwarzania przez organy lub podmioty publiczne.

Sektor prywatny

Sektor prywatny, w niektórych sytuacjach będzie miał obowiązek wyznaczenia IOD. Będą to podmioty, które w ramach swojej głównej działalności regularnie i systematycznie oraz na dużą skalę monitorują osoby lub jeżeli ich działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Co to w praktyce oznacza?

Przede wszystkim, należałoby tutaj zastanowić się, czym są „dane szczególnej kategorii”, „główna działalność”, „duża skala” oraz „regularne i systematyczne monitorowanie”.

Czym są dane szczególnej kategorii?

Zgodnie z art. 9 RODO są to dane osobowe ujawniające:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych
  • dane genetyczne,
  • dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej
  • dane dotyczące zdrowia,
  • dane dotyczące seksualności lub orientacji seksualnej osoby.

Czym jest główna działalność ADO?

Przetwarzanie danych jest główną działalnością ADO, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Przykładowo poboczne czynności, to wszystkie czynności, które są stosowane przez firmy w celu wspierania swoich działań. Może to być prowadzenie listy płac, korzystanie z obsługi IT.

Na pewno główną działalnością szpitali lub przychodni będzie zapewnianie opieki medycznej. Jednakże bez  przetwarzania danych medycznych prowadzenie efektywnej opieki medycznej nie byłoby możliwe. Dlatego w tej sytuacji przetwarzanie danych pacjentów należy uznać za główną działalność.

Kolejnym przykładem może być spółka świadcząca usługi ochrony mienia, która prowadzi monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Główną działalnością takiej spółki będzie ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać IOD.

Co to jest duża skala?

W RODO nie znajdziemy informacji czym jest duża skala. Jedynie Motyw 91 nakreśla nam, że są to operacje przetwarzania, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym, które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.

Grupa Robocza Art. 29 nakreśla wskazówki w jaki sposób należy interpretować „dużą skalę”. Należy wziąć pod uwagę następujące czynniki:

  • Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
  • Zakres przetwarzanych danych osobowych;
  • Okres, przez jaki dane są przetwarzane;
  • Zakres geograficzny przetwarzania danych osobowych;

Do przykładów „przetwarzania na dużą skalę” zaliczyć można:

  • Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  • Przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’;
  • Przetwarzanie danych geo-lokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
  • Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  • Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
  • Przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”;

  • Przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza;
  • Przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

Co to jest regularne i systematyczne monitorowanie osób?

I tu odpowiedzi nie znajdziemy jednoznacznej. W motywie 24 możemy wyczytać, że „Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.”

A więc, monitorowaniem są wszelkie formy śledzenia i profilowania, w tym na potrzeby reklam behawioralnych. Grupa robocza art. 29 w swoich wytycznych zaznacza, że pojęcie to nie powinno być ograniczone jedynie do przestrzeni online i śledzenia w Internecie.

„Regularne monitorowanie” występuje jeżeli przetwarzanie odbywa się w sposób taki, że zachodzi choć jedno z poniższych przykładów:

  • Jest stałe albo występuje w określonych odstępach czasu przez ustalony okres;
  • Jest cykliczne albo powtarza się w określonym terminie;
  • Odbywa się stale lub okresowo.

„Systematyczne” ma miejsce jeżeli przetwarzanie odbywa się w sposób taki, że zachodzi choć jedno z poniższych przykładów:

  • Występuje zgodnie z określonym systemem;
  • Jest zaaranżowane, zorganizowane lub metodyczne;
  • Odbywa się w ramach generalnego planu zbierania danych;
  • Przeprowadzane jest w ramach określonej strategii.

Jakie to mogą być działania przedstawiamy poniżej. 

Grupa robocza art. 29 podała następujące przykłady tego kto powinien wyznaczyć IOD.

Są to podmioty, które wykonują następujące czynności:

  • obsługa sieci telekomunikacyjnej;
  • świadczenie usług telekomunikacyjnych;
  • przekierowywanie poczty elektronicznej;
  • działania marketingowe oparte na danych;
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy);
  • śledzenie lokalizacji, na przykład przez aplikacje mobilne;
  • programy lojalnościowe;
  • reklama behawioralna;
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych;
  • monitoring wizyjny;
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, itp.

W rezultacie wszystkie podmioty, które prowadzą w swoich organizacjach powyższe działania powinny wyznaczyć Inspektora ochrony danych.

WAŻNE! Rozliczalność

W sytuacji gdy z przepisów nie wynika obowiązek wyznaczenia IOD, administrator i podmiot przetwarzający powinien przeprowadzić wewnętrzną procedurę w celu ustalenia obowiązku lub braku obowiązku wyznaczenia IOD oraz udokumentować to, w celu wykazania, że wszystkie czynniki zostały uwzględnione. W razie kontroli organ nadzorczy może żądać wyjaśnień na jakiej podstawie została podjęta decyzja o wyznaczeniu, bądź niewyznaczeniu IOD. Zgodnie z zasadą rozliczalności taka procedura powinna zostać częścią dokumentacji i podlegać aktualizacji w razie konieczności.

Przykłady kto musi wyznaczyć Inspektora ochrony danych

Posiadanie IOD może być obowiązkowe, gdy na przykład Twoja firma/organizacja:

  • prowadzi szpital; 
  • prowadzi agencję ochrony odpowiedzialną za monitoring centrów handlowych i miejsc publicznych;
  • prowadzi małą firmę rekrutacyjną, która sporządza profile osób fizycznych;
  • przetwarza dane dotyczące podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’);
  • przetwarza dane geo-lokalizacyjne klientów w czasie rzeczywistym do celów statystycznych;
  • jest bankiem i przetwarza dane klientów w ramach prowadzonej działalności;
  • jest ubezpieczycielem i przetwarza dane klientów w ramach prowadzonej działalności;
  • przetwarza dane do celów reklamy behawioralnej z wykorzystaniem wyszukiwarki Internetowej;
  • jest dostawcą usług telefonicznych lub internetowych i przetwarza dane dotyczące treści, ruchu lub lokalizacji; 
  • śledzi lokalizację użytkowników, na przykład przez aplikacje mobilne;
  • organizuje programy lojalnościowe;
  • monitoruje dane dotyczące zdrowia i kondycji fizycznej użytkowników za pośrednictwem urządzeń przenośnych;
  • prowadzi monitoring wizyjny;
  • wykorzystuje urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatykę domową, itp.

Co najważniejsze to nie jest zamknięty katalog. Każdorazowo Administrator musi dokonać oceny tego czy jego działalność spełnia przesłanki z art. 37 RODO, 

Wyznaczenie IOD nie jest obowiązkowe, jeżeli:

  • jesteś lokalnym lekarzem i przetwarzasz dane osobowe swoich pacjentów,
  • prowadzisz małą firmę prawniczą i przetwarzasz dane swoich klientów.

Korzyści z wyznaczenia IOD

Wyznaczenie Inspektora może ułatwić wykazanie rozliczalności przed UODO. Sam fakt, że Administrator powołał IOD działa na jego korzyść, bowiem oznacza to, że ADO ma świadomość jak duża odpowiedzialność spoczywa na nim, w związku z przetwarzaniem danych swoich klientów, kontrahentów czy pracowników. Dzięki wyznaczeniu IOD, ADO komunikuje, że wie jakie zagrożenia wiążą się z przetwarzaniem danych oraz to, że podchodzi do tematu ochrony danych poważnie.

Kolejną korzyścią wyznaczenia IOD jest znaczące podniesienie przestrzegania przepisów, co może przyczynić się do wzrostu konkurencyjności przedsiębiorstwa. Prócz zapewnienia przestrzegania przepisów poprzez wprowadzenie mechanizmów rozliczania (audyty, polityki bezpieczeństwa) IOD odgrywają rolę pośrednika pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, osobami, których dane dotyczą albo jednostkami w ramach przedsiębiorstwa). Więcej na temat zadań Inspektora znajdziesz tutaj.

Jeżeli dotrłeś już tutaj i nadal nie jesteś pewien czy firma, którą prowadzisz ma obowiązek wyznaczenia Inspektora ochrony danych skontaktuj się z nami, aby rozwiać wszelkie wątpliwości.

Kontakt

Źródło: