Kto musi wyznaczyć inspektora ochrony danych osobowych ?
Ogólne rozporządzenie o ochronie danych w art. 37 ust 1przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.
Zgodnie z art. 9 ustawy o finansach publicznych do kręgu podmiotów publicznych należą:
1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
2) jednostki samorządu terytorialnego oraz ich związki;
2a) związki metropolitalne;
3) jednostki budżetowe;
4) samorządowe zakłady budżetowe;
5) agencje wykonawcze;
6) instytucje gospodarki budżetowej;
7) państwowe fundusze celowe;
8) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
9) Narodowy Fundusz Zdrowia;
10) samodzielne publiczne zakłady opieki zdrowotnej;
11) uczelnie publiczne;
12) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
13) państwowe i samorządowe instytucje kultury;
14) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
Ponadto zgodnie z art. 37 ust. 4 ogólnego rozporządzenia o ochronie danych obowiązek powołania inspektora ochrony danych może wprowadzić prawo Unii lub prawo państwa członkowskiego. Oznacza to, iż m.in. ustawodawca polski będzie mógł rozszerzyć obowiązek wyznaczenia DPO na inne podmioty.
W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.
Ponadto Grupa Robocza art. 29 rekomenduje wyznaczenie DPO nawet w odniesieniu do podmiotów do tego niezobowiązanych. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji).
Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych uznaje za dobrą praktykę powoływanie DPO przez prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną. W takim przypadku działalność inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.
Obowiązek wyznaczenia DPO dotyczy również podmiotów przetwarzających. Mogą zatem wystąpić sytuacje, kiedy administrator nie będzie zobowiązany do wyznaczenia DPO, natomiast obowiązek taki będzie ciążył na podmiocie przetwarzającym. Jako przykład Grupa Robocza art. 29 podaje sytuację, w której mała, rodzinna firma dystrybuująca artykuły gospodarstwa domowego na terenie jednego miasta korzysta z usług podmiotu przetwarzającego, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone działania, nie spowoduje obowiązku wyznaczania inspektora ochrony danych. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”. W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia inspektora ochrony danych.
Powyższe zasady nie uniemożliwiają podmiotom niezobowiązanym do wyznaczenia DPO skorzystania z innego rozwiązania niż wyznaczenie inspektora ochrony danych, np.wyznaczenia pracownika albo zatrudnienie zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W takim przypadku wedle zaleceń Grupy Roboczej art. 29 ważne jest, aby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd. W związku z tym należy poinformować pracowników organizacji, organ nadzorczy, osoby, których dane dotyczą, i ogół społeczeństwa, iż osoba zatrudniona nie jest DPO w świetle przepisów RODO.
Główną działalnością będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Nie każdy podmiot, którego główną działalnością jest przetwarzanie danych, musi jednak powołać IOD – a tylko taki, którego działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
Przykład – działalnością główną podmiotu zajmującego się profesjonalnym niszczeniem danych osobowych jest przetwarzanie danych osobowych, jednak podmiot ten nie ma obowiązku powołania IOD, ponieważ ta działalność nie wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.
Działalność główną należy rozumieć włączając w to działalność nierozerwalnie związaną z działalnością główną.
Przykład – szpital powinien powołać IOD, choć jego główną działalnością jest leczenie, a przetwarzanie danych działalnością nierozerwalnie związaną z taką działalnością główną.
Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby dużą skalę. Zaleca się jednak, aby za przetwarzanie na dużą skalę uznawać np.:
• przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności, • przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
• przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki.
Jednocześnie przywołuje się następujące przykłady przetwarzania danych niemieszczącego się w zakresie dużej skali:
• przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza,
• przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę
prawnego.
Podstawa prawna – art. 37 RODO.
• Wytyczne dotyczące inspektorów ochrony danych (WP 243),
http://www.giodo.gov.pl/1520282/id_art/9740/j/pl