Firma

Kiedy firma ma obowiązek wyznaczenia inspektora ochrony danych

123RF
Firmy działające w sektorze B2B, przetwarzające z reguły wyłącznie dane osobowe swoich pracowników i kontrahentów, muszą dokonać analizy, czy są zobowiązane do powołania IOD.

Ogólne rozporządzenie o ochronie danych („RODO") w określonych sytuacjach przewiduje obowiązek wyznaczenia inspektora ochrony danych („IOD"). Jest to funkcja zbliżona do działającego na podstawie aktualnie obowiązujących polskich przepisów administratora bezpieczeństwa informacji.

Firmy działające w sektorze B2B, przetwarzające z reguły wyłącznie dane osobowe swoich pracowników i kontrahentów, muszą dokonać analizy, czy są zobowiązane do powołania IOD.

Obowiązek wyznaczenia IOD

Przepisy RODO wskazują trzy sytuacje, w których wyznaczenie IOD przez administratora danych osobowych lub podmiot przetwarzający (czyli podmiot, któremu administrator w drodze umowy powierzył przetwarzanie danych osobowych) jest obligatoryjne:

- przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Do podmiotów prywatnych z sektora B2B mogą mieć więc zastosowanie dwie ostatnie przesłanki, przy czym wydaje się, że najczęściej występującą w praktyce będzie pierwsza z nich. Zasadniczą kwestią jest dokonanie oceny, co oznaczają pojęcia „główna działalność" oraz „duża skala", które nie zostały doprecyzowane przez RODO.

Co to jest główna działalność

Grupa Robocza Art. 29 w swoich wytycznych wskazuje, że główna działalność to działalność kluczowa z punktu widzenia działalności administratora i osiągnięcia jego celów. Polega ona na operacjach przetwarzania danych, jeżeli to przetwarzanie danych osobowych jest nierozerwalnie związane z działaniami stanowiącymi „główną działalność" administratora lub podmiotu przetwarzającego. Co istotne, czynności przetwarzania związane z obsługą pracowników (np. prowadzenie listy płac) lub korzystanie ze standardowych usług IT powinny być rozumiane jako przykłady działań pobocznych, wspierających prowadzenie działalności głównej, w związku z czym same takie działania nie będą kreować obowiązku wyznaczenia IOD. Te wskazówki mogą mieć znaczenie zwłaszcza w przypadku podmiotów, które nie prowadzą obsługi klientów indywidualnych, np. firm produkcyjnych z sektora B2B, które przetwarzają przede wszystkim dane osobowe swoich pracowników i kontrahentów.

Czym jest przetwarzanie na dużą skalę

Z kolei przy określaniu, czy przetwarzanie następuje na dużą skalę, Grupa Robocza Art. 29 zaleca uwzględnienie następujących czynników: liczby osób, których dane dotyczą, rodzaje danych osobowych, okres, przez jaki dane są przechowywane, a także zakres geograficzny przetwarzania danych osobowych. Ich łączne przeanalizowanie powinno prowadzić do wniosku, czy mamy do czynienia z przetwarzaniem danych osobowych na dużą skalę. Jako przykłady takiego przetwarzania można podać przetwarzanie danych klientów przez banki lub przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności.

Przepisy krajowe mogą rozszerzać katalog sytuacji, w których wyznaczenie IOD będzie obowiązkowe. Należy przy tym zauważyć, że podmioty, które nie będą zobowiązane do wyznaczenia IOD na podstawie przepisów RODO lub krajowych regulacji będą miały możliwość dobrowolnego ustanowienia takiej funkcji w ramach swojej organizacji. Niewykluczone, że takie podmioty będą bardziej konkurencyjne na rynku, np. jako podwykonawcy usług, ponieważ dzięki obecności IOD będą mogły w większym stopniu uwiarygodnić, że działają w zgodzie z RODO.

Naszym zdaniem każdy administrator danych osobowych lub podmiot przetwarzający powinien przeprowadzić analizę spełniania ww. przesłanek, która będzie odpowiednio udokumentowana. Analiza taka powinna wskazywać ostateczny wniosek o obowiązku lub braku obowiązku wyznaczenia IOD. W razie ewentualnej kontroli organu nadzoru administrator powinien być bowiem w stanie wykazać, że spełnia wymogi RODO, w tym również w zakresie powołania IOD.

Kto może zostać IOD

RODO wskazuje na ogólne wymogi co do osoby IOD. Osoba pełniąca tę funkcję jest wyznaczana na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD. Wymagany poziom wiedzy fachowej nie jest nigdzie określony, jednakże powinien być on oceniany indywidualnie w każdej sprawie, w zależności od charakteru, skomplikowania i ilości przetwarzanych danych osobowych w ramach danej organizacji. Wiedza fachowa obejmuje regulacje UE (w szczególności RODO) oraz krajowe z zakresu ochrony danych osobowych, a ponadto wiedzę na temat operacji przetwarzania danych i systemów informatycznych. Co więcej, IOD powinien także posiadać odpowiednie cechy osobowe, które będą gwarantowały prawidłowe wykonywanie jego zadań, takie jak np. rzetelność czy wysoki poziom etyki zawodowej.

Funkcję IOD można powierzyć zarówno pracownikowi administratora (lub podmiotu przetwarzającego), jak i podmiotowi trzeciemu na podstawie umowy o świadczenie usług. Podmiotem trzecim może być również osoba prawna, ale wówczas do wszystkich osób, które są wyznaczone w ramach tego podmiotu do pełnienia funkcji IOD, mają zastosowanie wymogi stawiane IOD (np. w zakresie kwalifikacji zawodowych czy konieczności unikania konfliktu interesów).

Przepisy RODO umożliwiają również wyznaczenie jednego IOD dla grupy przedsiębiorstw (tj. dla jednej grupy kapitałowej). Warunkiem jest jednak możliwość łatwego nawiązania kontaktu z IOD z każdej jednostki organizacyjnej. Oznacza to, że IOD powinien być dostępny dla kierownictwa wszystkich jednostek wchodzących w skład grupy, jak również dla osób, których dane są przetwarzane (np. pracowników). Osobom tym należy zatem udostępnić bezpośredni kontakt do IOD, który z kolei powinien być w stanie komunikować się w języku używanym przez organ nadzorczy i podmioty danych. Co więcej, łatwość nawiązania kontaktu może prowadzić do wniosku, iż w praktyce jedna osoba będzie mogła sprawować funkcję IOD maksymalnie w kilku podmiotach. Jest to zmiana w stosunku do stanu obecnego, ponieważ niejednokrotnie zdarza się, że ta sama osoba – w ramach świadczenia outsourcingu - sprawuje dzisiaj obowiązki administratora bezpieczeństwa informacji w kilkunastu, a nawet kilkudziesięciu podmiotach.

Jaki status

Osoba pełniąca funkcję IOD powinna mieć silniejszą pozycję w swojej organizacji niż obecny administrator bezpieczeństwa informacji. Musi być ona bowiem w wyraźny sposób niezależna, co wiąże się z tym, że IOD:

- nie może otrzymywać instrukcji co do wykonywania swoich zadań,

- nie może być odwoływany ani karany (bezpośrednio lub pośrednio) przez administratora lub podmiot przetwarzający za wypełnianie swoich zadań,

- podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego (np. zarządowi spółki z ograniczoną odpowiedzialnością).

Oznacza to, że IOD powinien zajmować samodzielne i niezależne stanowisko w strukturze firmy, co ma zapewnić mu swobodę należytego wykonywania jego funkcji.

IOD może wykonywać również inne zadania i obowiązki niż wynikające z pełnienia tej funkcji, ale z zastrzeżeniem, by nie powodowały one konfliktu interesów. Konflikt interesów będzie wywoływało zajmowanie w ramach organizacji stanowiska, które łączy się z określaniem sposobów i celów przetwarzania danych. Będą to przede wszystkim stanowiska kierownicze (np. kierownik działu HR lub kierownik działu IT), ale także stanowiska niższe, jeśli również faktycznie biorą udział w określaniu celów i sposobów przetwarzania danych osobowych.

Jakie zadania

Przepisy RODO wyznaczają minimalny zakres obowiązków IOD, do którego należą następujące zadania:

- informowanie administratora (lub podmiotu przetwarzającego) oraz pracowników, którzy przetwarzają dane osobowe, o spoczywających na nich obowiązkach i doradzanie im w tej sprawie;

- monitorowanie przestrzegania przepisów o ochronie danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;

- współpraca z organem nadzorczym;

- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami.

Warto przy tym podkreślić, że administrator (lub podmiot przetwarzający), wyznaczając IOD, może rozszerzyć ten zakres o inne czynności związane z ochroną danych osobowych.

Podmiot, który wyznacza IOD, zobowiązany jest zapewnić mu odpowiednie zasoby niezbędne do wykonania zadań oraz dostęp do danych osobowych i operacji przetwarzania. Według Grupy Roboczej Art. 29 zasoby te powinny obejmować zarówno wsparcie infrastrukturalne, finansowe, osobowe (np. utworzenie zespołu podległego IOD), jak i bieżące wsparcie ze strony kadry kierowniczej, zapewnienie możliwości uczestniczenia w szkoleniach oraz zapewnienie dostępu do innych działów organizacji. Podmiot, który wyznaczył IOD, musi zagwarantować, by był on niezwłocznie i właściwie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. IOD powinien zatem brać udział w podejmowaniu decyzji dotyczących ochrony danych osobowych, a wszelkie sprawy z tym związane powinny być z nim konsultowane, np. na etapie projektowania nowych urządzeń, które mają być wdrożone następnie do produkcji, a z którymi to urządzeniami związane jest przetwarzanie danych osobowych. Organizacja może też rozważyć przygotowanie wewnętrznych wytycznych, wskazujących na przypadki wymagające konsultacji z IOD.

Co oznacza B2B

B2B (ang. business-to-business) – skrót pochodzący z języka angielskiego oznaczający transakcje pomiędzy dwoma lub więcej podmiotami gospodarczymi; określenie relacji występujących pomiędzy przedsiębiorstwami (w odróżnieniu od relacji pomiędzy przedsiębiorstwami i klientami indywidualnymi, określanymi jako B2C).

Zdaniem autorów

Magdalena Podjacka, associate, prawnik Deloitte Legal

Krzysztof Owsianny, managing associate, radca prawny Deloitte Legal

W określonych przez RODO sytuacjach wyznaczenie IOD będzie obowiązkowe dla administratora danych lub podmiotu przetwarzającego. Można przypuszczać, że firmy z sektora B2B, które przetwarzają głównie dane osobowe swoich pracowników i kontrahentów, w większości przypadków nie będą objęte tym obowiązkiem. Niemniej jednak, nawet w takiej sytuacji firma powinna być w stanie udowodnić, że nie jest obowiązana do powołania IOD, co powinno zostać udokumentowane odpowiednią analizą. Z wyznaczaniem IOD wiążą się określone obowiązki, ponieważ powinien mieć on realną możliwość rzetelnego wypełniania swoich zadań. Z drugiej strony, naszym zdaniem, fakt posiadania w swojej strukturze organizacyjnej osoby pełniącej taką funkcję będzie pozytywnie odbierany w relacjach biznesowych z innymi podmiotami, ponieważ będzie wskazywać, że firma poważnie podchodzi do kwestii ochrony danych osobowych. ?

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL