Czy firma IT musi wyznaczyć inspektora ochrony danych

Zgodnie z art. 37 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) każdy administrator danych oraz podmiot przetwarzający ma obowiązek wyznaczyć inspektora ochrony danych (IOD), gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Porównując obowiązki wynikające z RODO do obecnie obowiązujących ustawy o ochronie danych osobowych, należy wskazać, że o ile powołanie administratora bezpieczeństwa informacji jest fakultatywne, o tyle wyznaczenie inspektora ochrony danych będzie obowiązkowe, gdy spełniona zostanie choćby jedna z przesłanek z art. 37 ust. 1 RODO.

Druga z przesłanek dotyczy sytuacji, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. RODO nie precyzuje bliżej tych niezbyt jasnych zwrotów. Wskazówki, jak rozumieć wyrażenia „główna działalność administratora”, „na dużą skalę” oraz „regularne i systematyczne monitorowanie”, można odnaleźć w wytycznych dotyczących inspektorów ochrony danych przyjętych przez Grupę Roboczą Art. 29 (Wytyczne WP 243).

Zdaniem Grupy Roboczej Art. 29 przetwarzanie danych osobowych jest „główną działalnością administratora”, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. „Główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Zdaniem Grupy Roboczej Art. 29 o tym, czy przetwarzanie następuje na „dużą skalę” powinny świadczyć takie czynniki, jak:

• liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
• zakres przetwarzanych danych osobowych,
• okres, przez jaki dane są przetwarzane,
• zakres geograficzny przetwarzania danych osobowych.

Z kolei pojęcie „regularne” powinno być rozumiane jako:

• stałe albo występujące w określonych odstępach czasu przez ustalony okres,
• cykliczne albo powtarzające się w określonym terminie,
• odbywające się stale lub okresowo.

Natomiast monitorowanie „systematyczne” oznacza monitorowanie:

• zgodnie z określonym systemem,
• zaaranżowane, zorganizowane lub metodyczne,
• odbywające się w ramach generalnego planu zbierania danych,
• przeprowadzone w ramach określonej strategii.

Wskazówki te nie dają konkretnej odpowiedzi na pytanie, kiedy administrator lub podmiot przetwarzający powinni wyznaczyć inspektora ochrony danych. Ocena, kiedy powołanie IOD jest obowiązkowe, a kiedy nie, będzie zależeć od okoliczności konkretnego przypadku. Dopuszczalna jest zatem sytuacja, w której jedne firmy świadczące usługę IT będą musiały wyznaczyć IOD, a inne nie będą miały takiego obowiązku.

Grupa Robocza Art. 29 zaleca, aby stosownie do zasady rozliczalności administratorzy i podmioty przetwarzające dokumentowali przebieg prowadzonej przez siebie analizy wewnętrznej w celu ustalenia, czy w danym przypadku należy wyznaczyć IOD, aby mogli wykazać, że należycie uwzględnili stosowne czynniki.