Inspektor Ochrony Danych

Inspektor Ochrony Danych

We wcześniejszym wpisie (link tutaj) poświęconym zmianom, które wprowadzone zostaną przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO” poruszyłem kwestię oceny skutków przetwarzania dla ochrony danych osobowych. W tym wpisie przybliżę instytucję IOD (Inspektor Ochrony Danych), która zastąpi  administratora bezpieczeństwa informacji i administratora systemów informatycznych.

Co do zasady wyznaczenie IOD będzie fakultatywne. Niemniej jednak administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane wrażliwe), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W tym miejscu należy zwrócić uwagę, że zgodnie z treścią art. 37 ust. 4 RODO przepisy prawa Unii Europejskiej lub prawa państwa członkowskiego będą mogły wprowadzić wymóg wyznaczenia IOD przez inne podmioty. Zatem polski ustawodawca może rozszerzyć wskazany wyżej katalog zawierający przesłanki obligatoryjnego wyznaczenia IOD.

Pomimo, iż RODO podaje wyczerpujący katalog przesłanek obligatoryjnego wyznaczenia IOD, to jednak ustalenie kręgu podmiotów objętych tym obowiązkiem może okazać się problematyczne. Wynika to z zastosowania pojęć nieostrych takich jak ‚główna działalność’ i ‚duża skala’, które nie zostały wyjaśnione w RODO. Pewne wytyczne w tym zakresie przekazane zostały przez tzw. Grupę Roboczą art. 29 (niezależny podmiot o charakterze doradczym, powołany na podstawie art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych).

W zakresie pojęcia ‚główna działalność’ odwołano się do treści motywu 97 RODO, zgodnie z którym: „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.”. Przy tym pojęcie to nie może być interpretowane wąsko. Zatem główna działalność obejmuje kluczowe czynności konieczne dla osiągnięcia celów administratora lub podmiotu przetwarzającego na zlecenie. Np. w przypadku ubezpieczycieli lub multiagentów ubezpieczeniowych głównym celem jest świadczenie usług w zakresie ubezpieczenia. Niemniej wiąże się to nierozerwalnie z przetwarzaniem danych osobowych. Wystawienie polisy nie jest bowiem możliwe bez przetwarzania danych osobowych. Przetwarzanie danych zostanie więc uznane za główną działalność jeśli nierozłącznie wiąże się z główną działalnością podmiotu.

Natomiast korzystanie z usług IT czy obsługa własnych pracowników (wypłacanie wynagrodzenia, opłacanie ZUS, prowadzenie dokumentacji pracowniczej itp.) mimo że bardzo istotne, uznane zostało za działalność pomocniczą dla organizacji i prowadzenia głównej działalności.

Definiując pojęcie ‚dużej skali’ odwołano się do treści motywu 91 RODO. Zgodnie z tym motywem o dużej skali mówimy, w przypadku „znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko”. Oceniając czy zachodzi duża skala przetwarzania danych należy rozważyć następujące czynniki:

• liczbę podmiotów danych, których dotyczy przetwarzanie (określoną liczbę lub proporcję populacji do której odnosi się przetwarzanie danych);
• zakres danych lub zakres różnych elementów danych przetwarzanych;
• okres przetwarzania danych lub trwałość ich przetwarzania;
• geograficzny zasięg czynności przetwarzania.

Jako przykład przetwarzania danych na dużą skalę wskazano min. przetwarzanie danych osobowych przez szpital w ramach prowadzonej działalności, banki, ubezpieczycieli oraz dostawców usług telefonicznych lub internetowych. Można zatem przyjąć, że z dużą skalą przetwarzania danych mamy do czynienia w sytuacji, gdy  przetwarzana jest duża ilość danych osobowych, w sposób ciągły lub cykliczny, w kilku miejscach lub na większym obszarze.

Znacznej zmianie uległ również zakres obowiązków IOD. Zadania IOD obejmują:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania przepisów RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor Ochrony Danych nie jest już podmiotem przejmującym obowiązki administratora w zakresie bezpieczeństwa przetwarzania danych. RODO ukształtowało IOD jako podmiot doradczy o szczególnej pozycji. Przejawia się to między innymi w obowiązku administratora danych osobowych zapewnienia IOD zasobów niezbędnych nie tylko do wykonania zadań przez IOD lecz również do utrzymania jego wiedzy fachowej.  Ponadto administrator danych oraz podmiot przetwarzający muszą zapewniać, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Przepisy RODO zapewniają IOD znaczną niezależność. Po pierwsze w związku z wypełnianiem swych zadań IOD nie może otrzymywać żadnych instrukcji. Po drugie, za wypełnianie swych zadań IOD nie może zostać odwołany ani ukarany.

RODO wprowadza nowe wymogi, którym musi sprostać Inspektor Ochrony Danych takie jak kwalifikacje zawodowe, a w szczególności wiedza fachowa na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań nałożonych przez RODO.

Kolejną zmianą, z pewnością korzystną dla przedsiębiorców, będzie możliwość wyznaczenia przez grupę przedsiębiorstw jednego IOD. Jednakże wyznaczenie jednego IOD przez grupę przedsiębiorstw będzie możliwe, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.