Na kim spoczywa obowiązek wyznaczenia IOD (inspektora ochrony danych) - według Grupy Roboczej Art. 29 RODO

Kwestie wyznaczenia i statusu IOD zostały uregulowane w ogólnym rozporządzeniu o ochronie danych. Zgodnie z art. 37 ust 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

•  przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

•  główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

•  główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

W przypadku pierwszej z przesłanek ustalenie publicznego statusu podmiotu nie przedstawia tak dużych trudności (obowiązek wyznaczenia IOD spoczywa w szczególności na jednostkach sektora finansów publicznych). Jednak w pozostałym zakresie, aby ustalić, czy na danym podmiocie spoczywa obowiązek wyznaczenia inspektora ochrony danych, należy niestety dokonać interpretacji klauzul generalnych (pojęć nieostrych) zawartych w przepisach o ochronie danych osobowych:

· „główna działalność administratora danych”,

· „duża skala”,

· „regularne i systematyczne monitorowanie osób, których dane dotyczą”.

Wskazówki w tym zakresie znajdziemy właśnie w Wytycznych Grupy Roboczej Art. 29.

„Główna działalność” administratora w sektorze prywatnym to jego zasadnicze, a nie drugoplanowe przedsięwzięcia. Według Grupy Roboczej są to główne działania niezbędne do osiągnięcia celów administratora danych.

Jednocześnie Grupa Robocza wskazuje, że „głównej działalności” nie można jednak traktować wyłącznie jako nierozerwalnej części działalności administratora.

Kolejnym pojęciem niedookreślonym w RODO jest termin „duża skala” w kontekście danych osobowych szczególnej kategorii (tzw. wrażliwych) a także dotyczących wyroków skazujących i naruszeń prawa. Według Grupy Roboczej nie da się wskazać konkretnej liczby, która miałaby określać „dużą skalę”. Dlatego zaproponowała, aby wziąć pod uwagę następujące kryteria, rozpatrując pojęcie „dużej skali”:

•  liczbę osób, których dane dotyczą – jako konkretną liczbę lub część określonej populacji,

• wolumen danych lub zakres przetwarzania danych,

•  czas trwania lub trwałość procesu przetwarzania danych,

• zakres geograficzny przetwarzania danych.

Warto zauważyć, że ogólne rozporządzenie nie wskazuje, czy pojęcie „dużej skali” ma być interpretowane w zgodności z przepisami krajowymi czy unijnymi. Niestety rodzi to utrudnienie w interpretacji tego sformułowania.

Z kolei indywidualna praktyka prowadzona przez lekarza lub prawnika nie będzie przetwarzaniem na „dużą skalę”, niezależnie od stopnia skomplikowania i ilości danych przetwarzanych w ramach takiej praktyki.

Na uwagę zasługuje również stanowisko Grupy Roboczej dotyczące terminu „regularnego i systematycznego monitorowania osób, których dane dotyczą”.

RODO nie wyjaśnia jego znaczenia, natomiast w motywie 24 wskazuje jedynie, że są to m.in. wszystkie formy śledzenia i profilowania w Internecie, w tym do celów reklamy spersonalizowanej.

Zdaniem Grupy Roboczej jest to tylko jeden z przykładów monitorowania. Jako „systematyczne” Grupa uznaje działanie zorganizowane, metodyczne, zaplanowane, przeprowadzane w ramach strategii, odbywające się w ramach ogólnego planu gromadzenia danych.

Wytyczne odnoszą się także możliwości powołania inspektora ochrony danych również w tych

podmiotach, w których taki obowiązek nie wynika bezpośrednio z RODO. Takie rozwiązanie będzie korzystniejsze z uwagi na niejednoznaczne zapisy art. 37 ust. 1 RODO, który określa podmioty zobligowane do wyznaczenia inspektora.

Oceniając, czy warto dokonać obsady funkcji IOD, administrator i podmiot przetwarzający powinni brać pod uwagę także zakres obowiązków inspektora ochrony danych wynikający z art. 39 ust. 1 RODO. Jest to mianowicie:

· informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

•  monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

•  udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 ogólnego rozporządzenia o ochronie danych);

•  współpraca z organem nadzorczym (Prezesem Urzędu Ochrony Danych Osobowych);

• pełnienie funkcji punktu kontaktowego dla organu nadzorczego (Prezesa UODO) w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Znając zakres obowiązków IOD, administrator będzie w stanie ocenić, jak silnym wsparciem byłby dla niego dobrowolnie wyznaczony inspektor. W tym kontekście właściwym podejściem wydaje się przeprowadzenie przez administratora (procesora) swoistej analizy ryzyka związanego z brakiem wyznaczenia inspektora ochrony danych osobowych. Takim ryzykiem jest w szczególności brak odpowiedniego monitorowania przestrzegania przepisów ogólnego rozporządzenia o ochronie danych. Dzięki temu ADO może świadomie zaakceptować lub nie ryzyko związane z niewyznaczeniem inspektora.