Inspektor ochrony danych osobowych - kto będzie musiał powołać

Unijny prawodawca przewidział 2-letni okres na przygotowanie się do stosowania nowych regulacji, w tym m.in. na przeprowadzenie przez każdego przedsiębiorcę analizy czy będzie na nim ciążył obowiązek powołania inspektora ochrony danych.

Publikacja: 19.05.2017 06:40

Inspektor ochrony danych osobowych - kto będzie musiał powołać

Foto: www.sxc.hu

Od 25 maja 2018 r. zaczniemy stosować rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO). Unijny prawodawca przewidział więc 2-letni okres na przygotowanie się do stosowania RODO, w tym m.in. na przeprowadzenie przez każdego przedsiębiorcę analizy czy będzie na nim ciążył obowiązek powołania inspektora ochrony danych (IOD).

Obowiązujące dziś przepisy nie wprowadzają obowiązku powołania administratora bezpieczeństwa informacji (ABI). To przedsiębiorca decyduje, czy powołać ABI czy nie. RODO z kolei wprowadza pewne kategorie podmiotów, które będą obowiązane do powołania IOD, który będzie pełnił funkcję zbliżoną do ABI – będzie doradcą w zakresie ochrony danych osobowych u danego przedsiębiorcy (RODO pozwala również na powołanie jednego IOD dla grupy przedsiębiorców (np. dla grupy kapitałowej)). W większości przypadków dzisiejszy ABI będzie mógł zostać IOD (przesłanki do powołania ABI i IOD są zbliżone).

Kto ma powołać

RODO wskazuje na 3 kategorie podmiotów obowiązanych do ustanowienia IOD. Z pobieżnej lektury RODO (art. 37 ust. 1) mogłoby się wydawać, że obowiązek ten będzie dotyczył wąskiej grupy podmiotów. Jednak całkiem niedawno tzw. Grupa Robocza Art. 29 tj. niezależny organ doradczy w zakresie danych osobowych i prywatności ustanowiony na gruncie obowiązującej dyrektywy 95/46/WE (GR 29) wydała wytyczne odnoszące się do wykładni m.in. art. 37 ust. 1 RODO (Wytyczne WP 243; przyjęte 13 grudnia 2016 r., dostępne na stronie GIODO). Wraz z rozpoczęciem stosowania RODO GR 29 zostanie zastąpiona przez Europejską Radę Ochrony Danych, niemniej można przyjąć, że jej dotychczasowe wytyczne będą wskazywać na kierunek wykładni europejskiej (mało prawdopodobne jest, żeby nowy organ wydał odmienne wytyczne).

Organ lub podmiot publiczny

Zgodnie z RODO administrator i tzw. „procesor" tj. podmiot przetwarzający (zatem zarówno przedsiębiorca decydujący o celach i sposobach przetwarzania, jak i ten przetwarzający na jego zlecenie, np. dostarczający wsparcie IT) wyznaczają IOD, jeśli są organem lub podmiotem publicznym. Jako wyjątek RODO wyłącza z tego katalogu sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości. Z wytycznych wynika, że to prawo krajowe będzie decydowało, jakie podmioty należy zaliczyć do tej grupy. GR 29 zauważa, że zadania publiczne czy władza publiczna mogą być wykonywane nie tylko przez podmioty publiczne, co ma miejsce, np. w przypadku spółek działających w sektorach: transportu publicznego, dostawy wody i energii czy infrastruktury drogowej. W tych przypadkach powołanie IOD nie jest obowiązkowe, ale rekomendowane.

Regularnie i systematycznie

Do ustanowienia IOD RODO obliguje administratora i procesora, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. GR 29 opowiada się za szerokim rozumieniem tej kategorii podmiotów. Przepis ten ma stosować się nie tylko do podmiotów opierających swoją działalność o przetwarzanie danych, ale również do tych, z których główną działalnością przetwarzanie danych jest nierozerwalnie związane.

W wytycznych pojawia się przykład szpitala, którego główną działalnością jest świadczenie opieki medycznej, jednak do prawidłowego świadczenia usług medycznych niezbędne jest przetwarzanie danych pacjenta, zwłaszcza danych o stanie zdrowia.

Kolejny przykład to spółka świadcząca usługi ochrony mienia, która w ramach prowadzonej działalności wykorzystuje monitoring centrów handlowych i przestrzeni publicznej. Główna działalność takiej spółki nie polega na przetwarzaniu danych, ale przetwarzanie danych jest nierozerwalnie związane z główną działalnością. Prowadzi to GR 29 do konkluzji, że również i te podmioty będą obowiązane do powołania IOD. Jednocześnie GR 29 zauważa, że do prowadzenia każdej działalności niezbędne jest podejmowanie innych, różnych czynności – i tak wypłata wynagrodzeń czy korzystanie z obsługi IT powinny być uznawane za poboczną działalność przedsiębiorcy.

Ważna jest skala przetwarzania

Należy jednak pamiętać, że samo prowadzenie głównej działalności w postaci przetwarzania danych nie jest wystarczające do przesądzenia o konieczności powołania IOD – do przetwarzania musi dochodzić na dużą skalę. Co więcej, to przetwarzanie ze względu na swój charakter, zakres lub cele wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą. RODO nie definiuje, co należy rozumieć pod pojęciem przetwarzania danych na dużą skalę. W wytycznych zasygnalizowano, że wymaga to każdorazowej oceny przy uwzględnieniu następujących kryteriów: liczby osób, których dane dotyczą, zakresu przetwarzanych danych osobowych, okresu w jakim dane są przetwarzane, zakresu geograficznego przetwarzania danych.

Ostatnia przesłanka to regularne i systematyczne monitorowanie osób, których dane dotyczą. Zgodnie z wytycznymi, przedsiębiorca regularnie monitoruje osoby, których dane przetwarza, gdy monitoruje je w sposób stały albo w określonych odstępach czasu w danym okresie, cyklicznie w określonym czasie, stale lub okresowo. Natomiast o systematycznym monitorowaniu osób możemy mówić m.in., gdy następuje to zgodnie z określonym systemem, jest uprzednio ustalone, zorganizowane lub metodyczne, odbywa się w ramach ustalonej strategii.

Szczególna kategoria, czyli dane wrażliwe

Ostatnią grupą podmiotów zobowiązanych do powołania IOD będą administratorzy i procesorzy przetwarzający, w ramach głównej działalności i na dużą skalę, szczególne kategorie danych lub dane dotyczące wyroków skazujących i naruszeń prawa. Co do zasady chodzi o obecne dane wrażliwe, gdyż RODO nie posługuje się pojęciem danych wrażliwych a terminem „szczególnych kategorii danych". Są nimi: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby (art. 9 ust. 1 RODO).

Pomimo, że na gruncie RODO dane dotyczące wyroków skazujących i naruszeń prawa nie należą do szczególnych kategorii danych – również przetwarzanie tych danych w omawianym aspekcie powoduje powstanie obowiązku powołania IOD. Co istotne, GR 29 zauważyła błąd redakcyjny w analizowanym przepisie (art. 37 ust. 1 lit. c RODO) i podaje, że niezależnie od użycia przez prawodawcę unijnego spójnika łącznego („oraz") przepis należy interpretować w ten sposób, że podmioty obowiązane do ustanowienia IOD to te, które przetwarzają dane szczególnej kategorii lub dane dotyczące wyroków skazujących i naruszeń prawa.

Należy pamiętać, że konieczność powołania IOD ciąży zarówno na administratorze danych, jak i na procesorze. Co więcej, obowiązek powołania IOD przez administratora, nie ma znaczenia dla oceny, czy procesor powinien IOD powołać. Dla zobrazowania tej sytuacji, w wytycznych przywołano przykład małej rodzinnej firmy zajmującej się dystrybucją artykułów gospodarstwa domowego i prowadzącej działalność na terenie jednego miasta, która korzysta z usług pomiotu, którego główną działalnością jest analityka internetowa i wsparcie z zakresu reklamy ukierunkowanej i marketingu. Główna działalność wspomnianej małej rodzinnej firmy nie jest związana z przetwarzaniem danych osobowych na dużą skalę z uwagi na małą ilość posiadanych klientów. Natomiast główna działalność ww. podmiotu zajmującego się reklamą i marketingiem, który będzie posiadał wielu klientów takich jak w/w firma rodzinna, będzie już związana z przetwarzaniem danych osobowych na dużą skalę. W konsekwencji, pomimo że wskazana mała firma lokalna nie będzie obowiązana do powołania IOD, to na procesorze – firmie świadczącej usługi marketingowe – będzie ciążył obowiązek powołania IOD.

—Joanna Matczuk

—Magdalena Michalska

Zdaniem autorek

Joanna Matczuk, partner dział IP, SMM Legal

Magdalena Michalska, senior associate, dział IP, SMM Legal

Przedsiębiorcy mają właściwie rok na przygotowanie się do reformy systemu ochrony danych. To niemało, ale należy uwzględnić, że konieczność znaczącego niekiedy przemodelowania polityki ochrony danych u konkretnego administratora, może niekiedy zająć wiele miesięcy. Analizowane wytyczne GR 29 będą podlegać konsultacjom, a ich ostateczny kształt poznamy później. Jedank aktualny tekst wytycznych znacznie przybliża kierunek wykładni RODO, warto więc, żeby już dzisiaj administratorzy danych i procesorzy rozważyli, czy nie obejmie ich obowiązek zatrudnienia nowego pracownika. ?

Kiedy występuje masowe przetwarzanie danych

GR 29 jako przykłady przetwarzania na dużą skalę m.in. wskazuje:

- przetwarzanie danych pacjentów przez szpital,

- przetwarzanie danych klientów przez banki i ubezpieczycieli,

- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,

- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Kiedy dochodzi do typowego monitorowania

Grupa 29 jako przykłady operacji przetwarzania danych, w ramach których dochodzi do regularnego i systematycznego monitorowania osób, których dane dotyczą podaje:

- obsługę sieci telekomunikacyjnej,

- świadczenie usług telekomunikacyjnych,

- przekierowywanie e-maili,

- profilowanie i ocenianie dla celów oceny ryzyka (przykładowo dla celów oceny ryzyka kredytowego, określenia składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),

- śledzenie lokalizacji, na przykład przez aplikacje mobilne,

- organizowanie programów lojalnościowych,

- reklamę behawioralną,

- monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych,

- korzystanie z monitoringu wizyjnego,

- wykorzystywanie urządzeń skomunikowanych, np. inteligentnych liczników, inteligentnych samochodów, automatyki domowej, etc. -

Prawo karne
Fakty i mity o "lex Tusk". Czy kontrowersyjna ustawa wpłynie na wynik wyborów
Prawo dla Ciebie
Lex Tusk: komisja ruszy przed wyborami, a odwołania do sądu już po nich
ZUS
Od zwrotu składki zdrowotnej należy się… składka zdrowotna
Prawnicy
Prof. Strzembosz: Andrzej Duda jest człowiekiem skompromitowanym
Materiał Promocyjny
ESG - Raportowanie w praktyce – IV edycja
Sądy i trybunały
Sędziowie o "lex Tusk": grozi powtórka ze sprawy procesu brzeskiego
Prawo karne
Prof. Zimmermann, promotor Andrzeja Dudy: Wstyd mi, że mam takiego doktoranta