Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Firma

Kiedy firma ma obowišzek wyznaczenia inspektora ochrony danych

123RF
Firmy działajšce w sektorze B2B, przetwarzajšce z reguły wyłšcznie dane osobowe swoich pracowników i kontrahentów, muszš dokonać analizy, czy sš zobowišzane do powołania IOD.

Ogólne rozporzšdzenie o ochronie danych („RODO") w okreœlonych sytuacjach przewiduje obowišzek wyznaczenia inspektora ochrony danych („IOD"). Jest to funkcja zbliżona do działajšcego na podstawie aktualnie obowišzujšcych polskich przepisów administratora bezpieczeństwa informacji.

Firmy działajšce w sektorze B2B, przetwarzajšce z reguły wyłšcznie dane osobowe swoich pracowników i kontrahentów, muszš dokonać analizy, czy sš zobowišzane do powołania IOD.

Obowišzek wyznaczenia IOD

Przepisy RODO wskazujš trzy sytuacje, w których wyznaczenie IOD przez administratora danych osobowych lub podmiot przetwarzajšcy (czyli podmiot, któremu administrator w drodze umowy powierzył przetwarzanie danych osobowych) jest obligatoryjne:

- przetwarzania dokonuje organ lub podmiot publiczny, z wyjštkiem sšdów w zakresie sprawowania przez nie wymiaru sprawiedliwoœci;

- główna działalnoœć administratora lub podmiotu przetwarzajšcego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagajš regularnego i systematycznego monitorowania osób, których dane dotyczš, na dużš skalę;

- główna działalnoœć administratora lub podmiotu przetwarzajšcego polega na przetwarzaniu na dużš skalę wrażliwych danych osobowych oraz danych osobowych dotyczšcych wyroków skazujšcych i naruszeń prawa.

Do podmiotów prywatnych z sektora B2B mogš mieć więc zastosowanie dwie ostatnie przesłanki, przy czym wydaje się, że najczęœciej występujšcš w praktyce będzie pierwsza z nich. Zasadniczš kwestiš jest dokonanie oceny, co oznaczajš pojęcia „główna działalnoœć" oraz „duża skala", które nie zostały doprecyzowane przez RODO.

Co to jest główna działalnoœć

Grupa Robocza Art. 29 w swoich wytycznych wskazuje, że główna działalnoœć to działalnoœć kluczowa z punktu widzenia działalnoœci administratora i osišgnięcia jego celów. Polega ona na operacjach przetwarzania danych, jeżeli to przetwarzanie danych osobowych jest nierozerwalnie zwišzane z działaniami stanowišcymi „głównš działalnoœć" administratora lub podmiotu przetwarzajšcego. Co istotne, czynnoœci przetwarzania zwišzane z obsługš pracowników (np. prowadzenie listy płac) lub korzystanie ze standardowych usług IT powinny być rozumiane jako przykłady działań pobocznych, wspierajšcych prowadzenie działalnoœci głównej, w zwišzku z czym same takie działania nie będš kreować obowišzku wyznaczenia IOD. Te wskazówki mogš mieć znaczenie zwłaszcza w przypadku podmiotów, które nie prowadzš obsługi klientów indywidualnych, np. firm produkcyjnych z sektora B2B, które przetwarzajš przede wszystkim dane osobowe swoich pracowników i kontrahentów.

Czym jest przetwarzanie na dużš skalę

Z kolei przy okreœlaniu, czy przetwarzanie następuje na dużš skalę, Grupa Robocza Art. 29 zaleca uwzględnienie następujšcych czynników: liczby osób, których dane dotyczš, rodzaje danych osobowych, okres, przez jaki dane sš przechowywane, a także zakres geograficzny przetwarzania danych osobowych. Ich łšczne przeanalizowanie powinno prowadzić do wniosku, czy mamy do czynienia z przetwarzaniem danych osobowych na dużš skalę. Jako przykłady takiego przetwarzania można podać przetwarzanie danych klientów przez banki lub przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalnoœci.

Przepisy krajowe mogš rozszerzać katalog sytuacji, w których wyznaczenie IOD będzie obowišzkowe. Należy przy tym zauważyć, że podmioty, które nie będš zobowišzane do wyznaczenia IOD na podstawie przepisów RODO lub krajowych regulacji będš miały możliwoœć dobrowolnego ustanowienia takiej funkcji w ramach swojej organizacji. Niewykluczone, że takie podmioty będš bardziej konkurencyjne na rynku, np. jako podwykonawcy usług, ponieważ dzięki obecnoœci IOD będš mogły w większym stopniu uwiarygodnić, że działajš w zgodzie z RODO.

Naszym zdaniem każdy administrator danych osobowych lub podmiot przetwarzajšcy powinien przeprowadzić analizę spełniania ww. przesłanek, która będzie odpowiednio udokumentowana. Analiza taka powinna wskazywać ostateczny wniosek o obowišzku lub braku obowišzku wyznaczenia IOD. W razie ewentualnej kontroli organu nadzoru administrator powinien być bowiem w stanie wykazać, że spełnia wymogi RODO, w tym również w zakresie powołania IOD.

Kto może zostać IOD

RODO wskazuje na ogólne wymogi co do osoby IOD. Osoba pełnišca tę funkcję jest wyznaczana na podstawie kwalifikacji zawodowych, a w szczególnoœci wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętnoœci wypełnienia zadań IOD. Wymagany poziom wiedzy fachowej nie jest nigdzie okreœlony, jednakże powinien być on oceniany indywidualnie w każdej sprawie, w zależnoœci od charakteru, skomplikowania i iloœci przetwarzanych danych osobowych w ramach danej organizacji. Wiedza fachowa obejmuje regulacje UE (w szczególnoœci RODO) oraz krajowe z zakresu ochrony danych osobowych, a ponadto wiedzę na temat operacji przetwarzania danych i systemów informatycznych. Co więcej, IOD powinien także posiadać odpowiednie cechy osobowe, które będš gwarantowały prawidłowe wykonywanie jego zadań, takie jak np. rzetelnoœć czy wysoki poziom etyki zawodowej.

Funkcję IOD można powierzyć zarówno pracownikowi administratora (lub podmiotu przetwarzajšcego), jak i podmiotowi trzeciemu na podstawie umowy o œwiadczenie usług. Podmiotem trzecim może być również osoba prawna, ale wówczas do wszystkich osób, które sš wyznaczone w ramach tego podmiotu do pełnienia funkcji IOD, majš zastosowanie wymogi stawiane IOD (np. w zakresie kwalifikacji zawodowych czy koniecznoœci unikania konfliktu interesów).

Przepisy RODO umożliwiajš również wyznaczenie jednego IOD dla grupy przedsiębiorstw (tj. dla jednej grupy kapitałowej). Warunkiem jest jednak możliwoœć łatwego nawišzania kontaktu z IOD z każdej jednostki organizacyjnej. Oznacza to, że IOD powinien być dostępny dla kierownictwa wszystkich jednostek wchodzšcych w skład grupy, jak również dla osób, których dane sš przetwarzane (np. pracowników). Osobom tym należy zatem udostępnić bezpoœredni kontakt do IOD, który z kolei powinien być w stanie komunikować się w języku używanym przez organ nadzorczy i podmioty danych. Co więcej, łatwoœć nawišzania kontaktu może prowadzić do wniosku, iż w praktyce jedna osoba będzie mogła sprawować funkcję IOD maksymalnie w kilku podmiotach. Jest to zmiana w stosunku do stanu obecnego, ponieważ niejednokrotnie zdarza się, że ta sama osoba – w ramach œwiadczenia outsourcingu - sprawuje dzisiaj obowišzki administratora bezpieczeństwa informacji w kilkunastu, a nawet kilkudziesięciu podmiotach.

Jaki status

Osoba pełnišca funkcję IOD powinna mieć silniejszš pozycję w swojej organizacji niż obecny administrator bezpieczeństwa informacji. Musi być ona bowiem w wyraŸny sposób niezależna, co wišże się z tym, że IOD:

- nie może otrzymywać instrukcji co do wykonywania swoich zadań,

- nie może być odwoływany ani karany (bezpoœrednio lub poœrednio) przez administratora lub podmiot przetwarzajšcy za wypełnianie swoich zadań,

- podlega bezpoœrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzajšcego (np. zarzšdowi spółki z ograniczonš odpowiedzialnoœciš).

Oznacza to, że IOD powinien zajmować samodzielne i niezależne stanowisko w strukturze firmy, co ma zapewnić mu swobodę należytego wykonywania jego funkcji.

IOD może wykonywać również inne zadania i obowišzki niż wynikajšce z pełnienia tej funkcji, ale z zastrzeżeniem, by nie powodowały one konfliktu interesów. Konflikt interesów będzie wywoływało zajmowanie w ramach organizacji stanowiska, które łšczy się z okreœlaniem sposobów i celów przetwarzania danych. Będš to przede wszystkim stanowiska kierownicze (np. kierownik działu HR lub kierownik działu IT), ale także stanowiska niższe, jeœli również faktycznie biorš udział w okreœlaniu celów i sposobów przetwarzania danych osobowych.

Jakie zadania

Przepisy RODO wyznaczajš minimalny zakres obowišzków IOD, do którego należš następujšce zadania:

- informowanie administratora (lub podmiotu przetwarzajšcego) oraz pracowników, którzy przetwarzajš dane osobowe, o spoczywajšcych na nich obowišzkach i doradzanie im w tej sprawie;

- monitorowanie przestrzegania przepisów o ochronie danych osobowych, w tym podział obowišzków, działania zwiększajšce œwiadomoœć, szkolenia personelu uczestniczšcego w operacjach przetwarzania oraz powišzane z tym audyty;

- udzielanie na żšdanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

- współpraca z organem nadzorczym;

- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach zwišzanych z przetwarzaniem, w tym z uprzednimi konsultacjami.

Warto przy tym podkreœlić, że administrator (lub podmiot przetwarzajšcy), wyznaczajšc IOD, może rozszerzyć ten zakres o inne czynnoœci zwišzane z ochronš danych osobowych.

Podmiot, który wyznacza IOD, zobowišzany jest zapewnić mu odpowiednie zasoby niezbędne do wykonania zadań oraz dostęp do danych osobowych i operacji przetwarzania. Według Grupy Roboczej Art. 29 zasoby te powinny obejmować zarówno wsparcie infrastrukturalne, finansowe, osobowe (np. utworzenie zespołu podległego IOD), jak i bieżšce wsparcie ze strony kadry kierowniczej, zapewnienie możliwoœci uczestniczenia w szkoleniach oraz zapewnienie dostępu do innych działów organizacji. Podmiot, który wyznaczył IOD, musi zagwarantować, by był on niezwłocznie i właœciwie włšczany we wszystkie sprawy dotyczšce ochrony danych osobowych. IOD powinien zatem brać udział w podejmowaniu decyzji dotyczšcych ochrony danych osobowych, a wszelkie sprawy z tym zwišzane powinny być z nim konsultowane, np. na etapie projektowania nowych urzšdzeń, które majš być wdrożone następnie do produkcji, a z którymi to urzšdzeniami zwišzane jest przetwarzanie danych osobowych. Organizacja może też rozważyć przygotowanie wewnętrznych wytycznych, wskazujšcych na przypadki wymagajšce konsultacji z IOD.

Co oznacza B2B

B2B (ang. business-to-business) – skrót pochodzšcy z języka angielskiego oznaczajšcy transakcje pomiędzy dwoma lub więcej podmiotami gospodarczymi; okreœlenie relacji występujšcych pomiędzy przedsiębiorstwami (w odróżnieniu od relacji pomiędzy przedsiębiorstwami i klientami indywidualnymi, okreœlanymi jako B2C).

Zdaniem autorów

Magdalena Podjacka, associate, prawnik Deloitte Legal

Krzysztof Owsianny, managing associate, radca prawny Deloitte Legal

W okreœlonych przez RODO sytuacjach wyznaczenie IOD będzie obowišzkowe dla administratora danych lub podmiotu przetwarzajšcego. Można przypuszczać, że firmy z sektora B2B, które przetwarzajš głównie dane osobowe swoich pracowników i kontrahentów, w większoœci przypadków nie będš objęte tym obowišzkiem. Niemniej jednak, nawet w takiej sytuacji firma powinna być w stanie udowodnić, że nie jest obowišzana do powołania IOD, co powinno zostać udokumentowane odpowiedniš analizš. Z wyznaczaniem IOD wišżš się okreœlone obowišzki, ponieważ powinien mieć on realnš możliwoœć rzetelnego wypełniania swoich zadań. Z drugiej strony, naszym zdaniem, fakt posiadania w swojej strukturze organizacyjnej osoby pełnišcej takš funkcję będzie pozytywnie odbierany w relacjach biznesowych z innymi podmiotami, ponieważ będzie wskazywać, że firma poważnie podchodzi do kwestii ochrony danych osobowych. ?

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL