Jedną ze zmian jakie wprowadza RODO jest określenie administratora danych, którzy zobowiązani są do wyznaczenia Inspektora Ochrony Danych. Podobną funkcję, znaną wcześniej na gruncie polskiej ustawy o ochronie danych osobowych, pełnił Administrator Bezpieczeństwa Informacji (ABI), jednak ustawa o ochronie danych nie nakładała powszechnego obowiązku powoływania ABI.
Trzy rodzaje podmiotów zobligowane do powołania IOD
Przepisy RODO przewidują trzy przypadki, w których powołanie IOD jest obowiązkiem administratora danych. Pierwszy z nich ma charakter podmiotowy, bowiem odnosi się do kategorii podmiotów, które zobligowane zostały do wyznaczenia IOD, dwa kolejne mają charakter przedmiotowy – dotyczą przedmiotu działalności administratorów danych.
Obowiązek powołania IOD określa art. 37 ust. 1 RODO:
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Użyte w treści przepisu słowa „wyznaczają (…) zawsze gdy” oznaczają prawny obowiązek wyznaczenia IOD dla określonych kategorii podmiotów. Brak dostosowania się do powyższego będzie oceniany negatywnie przez organ kontrolujący i może skutkować karami finansowymi dla organizacji. W sytuacji, gdy organizacja uzna, że nie podlega powyższemu przepisowi i nie musi wyznaczyć Inspektora Ochrony Danych, powinna ta decyzję udokumentować odpowiednio przeprowadzoną analizą wewnętrzną realizującą zasadą rozliczalności.
W przypadku, gdy przedsiębiorca nie jest zobligowany do wyznaczenia IOD, może on fakultatywnie skorzystać z tego uprawnienia, aby np. podnieść poziom bezpieczeństwa danych w swojej organizacji. IOD powołany bez obowiązku prawnego będzie podlegał tym samym prawom i obowiązkom, co inspektorzy wyznaczeni obligatoryjnie. O plusach powołania IOD pisaliśmy w tym artykule.
Organy lub podmioty publiczne
RODO nie przyjmuje jednoznacznej definicji organów lub podmiotów publicznych. W wytycznych Grupy Roboczej Art. 29: „Wytyczne dotyczące inspektorów ochrony danych” wskazano, że pojęcie to powinno zostać określone na poziomie ustawodawstwa krajowego. Do podmiotów takich najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również – na mocy właściwego prawa krajowego – szereg innych podmiotów prawa publicznego. We wszystkich tych przypadkach powołanie IOD jest obowiązkowe.
Odnosząc powyższe do polskich przepisów, należy przyjąć, że powyższe dotyczy podmiotów wymienionych w art. 9 ustawy o ochronie danych osobowych oraz wymienionych w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, tj.:
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
- jednostki samorządu terytorialnego oraz ich związki;
- związki metropolitalne;
- jednostki budżetowe;
- samorządowe zakłady budżetowe;
- agencje wykonawcze;
- instytucje gospodarki budżetowej;
- państwowe fundusze celowe;
- Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
- Narodowy Fundusz Zdrowia;
- samodzielne publiczne zakłady opieki zdrowotnej;
- uczelnie publiczne;
- Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
- państwowe i samorządowe instytucje kultury;
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego;
- Instytutów badawczych;
- Narodowego Banku Polskiego.
Istnieją również sytuacje, w których podmioty sektora prywatnego realizują zadania publiczne. Wykonywanie zadań publicznych przez podmiot prywatny powinno wynikać albo z przepisów prawa, albo ze stosownej umowy zawartej przez ten podmiot z podmiotem prawa publicznego zobowiązanym do wykonywania określonego zadnia publicznego. Możliwość przeniesienia kompetencji w ten sposób na podmiot niepubliczny powinna wprost wynikać z przepisów prawa. Powołanie w tych przypadkach IOD nie jest obligatoryjne, jednak zalecane jako dobra praktyka, ponieważ dane osobowe w takich przypadkach znajdują się w podobnej sytuacji, jaka ma miejsce przy przetwarzaniu ich przez organy publiczne.
Ostatnie zdanie art. 37 ust. 1 lit a RODO wskazuje na wyłączenie obowiązku wyznaczenia IOD przez sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości. Należy zwrócić uwagę, że dotyczy ono tylko sytuacji przetwarzania danych w związku z rozstrzyganiem sporów sądowych, jednak nie zwalnia całkowicie ze stosowania przepisów dot. ochrony danych osobowych, np. względem danych pracowników sądu.
Powołanie IOD, a rodzaj prowadzonej działalności
Art. 37 ust. 1 lit. b i c RODO odwołują się do pojęć, które nie zostały zdefiniowane w treści RODO, a mianowicie do „głównej działalności administratora lub podmiotu przetwarzającego”, „przetwarzania na duża skalę” i „regularnego i systematycznego monitorowania osób, których dane dotyczą”. Brak dokładnej definicji tych pojęć sugeruje, że podmioty przetwarzające dane niejako same mogą zdecydować o tym, czy podlegają obowiązkowi wyznaczenia IOD. Rozporządzenie nie określa bowiem kategorii podmiotów ani ilości przetwarzanych rekordów, które wskazywałyby dokładniej, kogo mogą dotyczyć wymogi art. 37 ust. 1 lit. b i c RODO. Okoliczność ta ma jednak również swoje wady – organ nadzoru będzie podejmował ocenę tych kryteriów arbitralnie, opierając ją na swoich indywidualnych przekonaniach.
Główna działalność administratora lub podmiotu przetwarzającego
Zgodnie z motywem 97 ogólnego rozporządzenia o ochronie danych „główna działalność administratora” oznacza „zasadnicze, a nie poboczne czynności” podejmowane przez podmiot. Wytyczne Grupy Roboczej Art. 29 wskazują, że „główną działalnością” będzie zatem działalność kluczowa z punktu widzenia osiągnięcia celów administratora lub procesora.
Należy jednak zwrócić uwagę, że czynności nierozerwalnie związane z działalnością główną administratora lub podmiotu przetwarzającego, nawet jeśli nie stanowią celu same w sobie, również będą wchodziły w zakres „głównej działalności”. Grupa Robocza Art. 29 podaje przykład spółki świadczącej usługi ochrony mienia, która prowadzi monitoring w szeregu nieruchomości. Działalnością główną tej spółki będzie ochrona mienia, jednak jest ona nierozerwalnie związana z prowadzeniem monitoringu ww. miejsc, zatem monitoring należy do zakresu głównej działalności spółki, co oznacza, że jest ona zobligowana do wyznaczenia IOD.
W tym miejscu należy rozróżnić działalność wspierającą, która występuję w większości podmiotów i choć jest nierozerwalnie związana z prowadzeniem działalności głównej, nie jest do niej zaliczana, np. prowadzenie listy płac pracowników, korzystanie z obsługi informatycznej.
Przetwarzanie na dużą skalę
Zgodnie z motywem 91 : operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.
Poza tym krótkim wyjaśnieniem, przepisy RODO nie wskazują konkretnych wartości ani liczby rekordów danych lub podmiotów, których dane dotyczą, uznawanych za „przetwarzanie na dużą skalę”. Grupa Robocza Art. 29 zaleca uwzględnianie poniższych czynników przy określaniu rozmiaru skali przetwarzania:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- zakres przetwarzanych danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych.
Jako przykłady „przetwarzania na dużą skalę” Grupa Robocza Art. 29 podaje:
- przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
- przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich);
- przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
- przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Na zakończenie warto dodać, że motyw 91 RODO statuuje również, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.
„Regularne i systematyczne monitorowanie” – art. 37 ust. 1 lit. b RODO
Jak w przypadku poprzednich pojęć, informacje o „regularnym i systematycznym monitorowaniu osób, których dane dotyczą” odnajdujemy w motywie RODO. Motyw 24 rozporządzenia stanowi: aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Powyższe oznacza, że monitorowanie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Grupa Robocza Art. 29 wskazuje również, że motyw ten jest tylko wskazówką w dekodowaniu pojęcia „monitorowania”, co oznacza, że nie musi być ono ograniczone do środowiska on-line, jest to tylko przykład zawarty w treści RODO.
Grupa Robocza Art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć:
- stałe albo występujące w określonych odstępach czasu przez ustalony okres;
- cykliczne albo powtarzające się w określonym terminie;
- odbywające się stale lub okresowo.
GR Art. 29 definiuje „systematyczne” jako jedno lub więcej z następujących pojęć:
- występujące zgodnie z określonym systemem;
- zaaranżowane, zorganizowane lub metodyczne;
- odbywające się w ramach generalnego planu zbierania danych;
- przeprowadzone w ramach określonej strategii.
Przykładami działań, które mogą być uznane za „regularne i systematyczne monitorowanie osób, których dane dotyczą” są: obsługa sieci telekomunikacyjnej, śledzenie lokalizacji przez aplikacje mobilne, reklama behawioralna, programy lojalnościowe, monitoring wizyjny, inteligentne samochody, automatyka domowa etc.
Szczególne kategorie danych oraz dane dotyczące wyroków skazujących i naruszeń prawa – art. 37 ust. lit. c RODO
Trzeci przypadek, który obliguje do wyznaczenia IOD, zawiera pojęcia, które zostały zdefiniowane w treści RODO, albowiem szczególne kategorie danych określone w art. 9 rozporządzenia stanowią: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetycznych, dane biometrycznych wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczących zdrowia, seksualności lub orientacji seksualnej. Art. 10 RODO dotyczy danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, które wolno przetwarzać wyłącznie pod nadzorem władz publicznych lub w oparciu o przepisy prawa, zachowując odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wykładnia literalna art. 37 ust. 1 lit. c RODO wydaje się statuować twierdzenie, że obowiązek wyznaczenia IOD nie ciąży na administratorach, którzy przetwarzają dane dotyczące „powiązanych środków bezpieczeństwa”, ponieważ nie zostały one wskazane wprost w analizowanym przepisie. Jednak z uwagi na cel przepisu, czyli zagwarantowanie wysokiego poziomu ochrony danych osobowych przez określone podmioty poprzez obowiązek powołania IOD, wydaje się, że również ci administratorzy zobowiązani są do wyznaczenia inspektora ochrony danych.
Grupa Robocza Art. 29 zwróciła uwagę na spójnik użyty w przepisie, albowiem chociaż wykładnia językowa zakłada wyznaczenie IOD tylko w przypadku, gdy przetwarzane są przez jeden podmiot dwa powyższe rodzaje danych, to nie ma powodu, dla którego zasadne byłoby wymaganie spełnienie tych dwóch przesłanek jednocześnie. Zdaniem Grupy Roboczej Art. 29 zastosowanie powinien mieć spójnik „lub”.
Administrator czy procesor?
Obowiązek wynikający z wyżej przywołanego przepisu dotyczy niezależnie zarówno administratorów danych, jak i podmioty przetwarzające, bez względu na sektor prowadzonej działalności. Obowiązek powołania IOD aktualizuje się względem tego podmiotu, który spełnia przesłanki wymienione w art. 37 ust. 1 RODO, zatem może spoczywać wyłącznie na procesorze lub wyłącznie na administratorze. Możliwa jest również sytuacja, gdy obydwa te podmioty będą zobowiązane wyznaczyć IOD. W takim przypadku powołani inspektorzy powinni współpracować ze sobą.
W wytycznych wskazano, że może zdarzyć się sytuacja, w której obowiązek wyznaczenia IOD będzie spoczywał tylko na jednym z wyżej wymienionych podmiotów, mimo przetwarzania tego samego zestawu danych. Drugi podmiot może w takim przypadku wyznaczyć IOD w ramach dobrej praktyki. Przykładem podanym przez Grupę Roboczą Art. 29 jest małe rodzinne przedsiębiorstwo zajmujące się dystrybucją artkułów gospodarstwa domowego, które zleca obsługę podmiotowi świadczącemu usługi analityki internetowej oraz pomocy w ukierunkowanej reklamie i marketingu. Działalność rodzinnego przedsiębiorstwa prowadzona jest w małej skali. Natomiast działalność podmiotu przetwarzającego świadczącego usługi marketingu i reklamy behawioralnej, który posiada wielu podobnych klientów, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”, co wypełnia przesłankę powołania IOD z art. 37 ust. 1 lit. b RODO. Mimo to działalność rodzinnego przedsiębiorstwa nie obliguje go do powołania IOD. W tym przypadku podmiotem, który musi wyznaczyć inspektora, będzie tylko procesor.
Czy na pewno musze powołać IOD?
Wyznaczenie Inspektora Ochrony Danych, choć wydaje się być jedną z fundamentalnych powinności, którą RODO w określonych przypadkach nakłada na administratorów danych, może budzić wiele wątpliwości oraz być związane z wieloma praktycznymi problemami. Przepisy RODO nie określają bowiem precyzyjnie kategorii podmiotów, które podlegają temu obowiązkowi. Każdy administrator danych samodzielnie musi rozważyć, przyjmując odpowiednią procedurę, przesłanki wyznaczenia RODO w swojej organizacji, podjąć odpowiednią decyzję oraz udokumentować ją.
W dokonywaniu rozstrzygnięcia dot. obowiązku powołania IOD nieocenione mogą się okazać wskazówki Grupy Roboczej Art. 29, które uszczegóławiają ogólne postanowienia RODO. Pozostaje również mieć nadzieję, że w ramach praktycznego stosowania przepisów RODO część wątpliwości zostanie rozstrzygnięta zaleceniami polskiego organu nadzoru lub utartą praktyką.
Należy zwrócić uwagę, że naruszenie przepisów dotyczących wyznaczenia IOD zostało zagrożone w karą wynikającą z art. 84 ust. 4 lit. a RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
W przypadku podjęcia decyzji o powołaniu IOD mamy również kilka możliwości co do formy jego powołania. IOD może być pracownikiem naszej organiacji, ale także możemy skorzystać z pomocy zewnętrznego IOD. O plusach i minusach tych dwóch modeli więcej napisaliśmy w tym artykule.
Współautorem wpisu jest Katarzyna Woźniczak, młodszy specjalista ds. ODO w Data Legal Solutions Sp. z o.o.
Opracowano na podstawie:
- E. Bielak-Jomaa, D. Lubasz (red)., RODO Ogólne Rozporządzenie o Ochronie Danych. Komentarz, Warszawa 2018 r.;
- Grupa Robocza Art. 29 ds. ochrony danych, 16/EN WP 243 rew. 01 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r.;
- P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.
Post Kto musi powołać inspektora ochrony danych? pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.
Source: jchi