Kto ma obowiązek powołania inspektora danych osobowych? Czy każda firma ma obowiązek powołać inspektora ochrony danych osobowych ? Które firmy są zwolnione z tego obowiązku. Na te i podobne pytania dotyczące inspektora ochrony danych osobowych odpowiadamy na naszym blogu. o ile zastanawiasz się, czy Twoja firma ma obowiązek powołać IOD – ten artykuł jest dla Ciebie.
RODO wymienia kategorie podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych. W opisie przesłanek obligujących do powołania inspektora, RODO posługuje się jednak licznymi pojęciami nieostrymi i niejasnymi definicjami. Powoduje to, iż dla wielu przedsiębiorców obowiązek powołania IOD pozostaje zagadką. Sama lektura przepisów Rozporządzenia nie pozwala bowiem precyzyjne ustalić, czy przedsiębiorca należy do jednej z kategorii podmiotów zobowiązanych do wyznaczenia inspektora. Tymczasem podmiot, który nie powołał IOD, w sytuacji gdy był do tego zobowiązany, naraża się na ryzyko kar finansowych do 10 mln euro lub 2% całkowitego światowego rocznego obrotu.
Kto ma obowiązek wyznaczenia IOD
Zgodnie z RODO, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
- przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
RODO nakłada zatem obowiązek powołania IOD zarówno na administratora, jak i podmiot przetwarzający, o ile spełniają oni jeden z określonych wyżej warunków.
Kto zgłasza inspektora ochrony danych – podmioty zobowiązane do wyznaczenia IOD:
Organy i podmioty publiczne
Identyfikacja podmiotów należących do pierwszej grupy zasadniczo nie budzi wątpliwości. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych definiuje bowiem pojęcie „organów i podmiotów publicznych obowiązanych do wyznaczenia inspektora”, wskazując, iż podmiotami tymi są:
- jednostki sektora finansów publicznych (w szczególności organy władzy publicznej, w tym administracji rządowej, kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, ZUS, NFZ, etc.),
- instytuty badawcze (w tym Instytut Badań Edukacyjnych, Instytut Meteorologii i Gospodarki Wodnej, Instytut Matki i Dziecka, czy też Naukowa i Akademicka Sieć Komputerowa),
- Narodowy Bank Polski.
RODO zezwala, aby administratorzy i podmioty przetwarzające, będące organami lub podmiotami publicznymi, wyznaczały jednego inspektora ochrony danych dla kilku takich organów lub podmiotów.
Podmioty monitorujące dane osobowe na dużą skalę
Wątpliwości interpretacyjne może budzić określenie kręgu administratorów i podmiotów przetwarzających należących do drugiej kategorii, tj. podmiotów, których główna działalność „polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”. Aby ustalić, kto jest zobowiązany do powołania inspektora na powyższej podstawie, konieczne jest przeanalizowanie poszczególnych użytych w zacytowanym przepisie pojęć.
a. Główna działalność administratora
W pierwszej kolejności wyjaśnić należy określenie „główna działalność administratora lub podmiotu przetwarzającego”. Zgodnie z RODO, przetwarzanie danych osobowych jest główną działalnością administratora, o ile stanowi ona jego zasadnicze, a nie poboczne czynności. Powinna to być zatem działalność kluczowa z punktu widzenia osiągnięcia celów administratora. Nie chodzi tu wyłącznie o przedmiot działalności gospodarczej klasyfikowany według kodów PKD i wpisany do Krajowego Rejestru Sądowego. Działalność główną można natomiast wskazać poprzez określenie czynności administratora związanych z prowadzeniem działalności, a następnie wykluczenie z ich zakresu tych działań, które, mimo iż są niezbędne do prowadzenia działalności, to mają charakter pomocniczy, uzupełniający lub poboczny.
b. Operacje przetwarzania wymagające monitorowania osób
Dla dalszej analizy rozważania wymaga kwestia, czy rozumiana w powyższy sposób główna działalność polega na „operacjach przetwarzania” wymagających „monitorowania osób, których dane dotyczą”.
„Operacjami przetwarzania” są poszczególne czynności składające się na przetwarzanie danych osobowych, w tym, jak wskazuje RODO, zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Pojęcie danych osobowych wyjaśniamy szczegółowo w artykule na blogu – „Dane osobowe – co to oznacza”.
Pojęcie „monitorowania osób, których dane dotyczą” to wszelkie formy śledzenia i profilowania – zarówno w sieci, w tym na potrzeby reklam behawioralnych, jak i poza nią. Przez „monitorowanie” rozumie się także stałą obserwację i kontrolę procesów lub zjawisk. Tym samym już w pojęciu monitoringu zapisana jest cecha ciągłości i trwałości obserwacji. Działania kontrolne dotyczące osób, których dane dotyczą podejmowane sporadycznie, czy nieregularnie nie będą zatem ich monitorowaniem.
c. Regularność i systematyczność
Aby monitorowanie skutkowało koniecznością powołania inspektora powinno być „regularne i systematyczne”. Pojęcie regularnego monitorowania, jest definiowane jako prowadzone stale, cyklicznie, w określonych odstępach czasu przez ustalony okres lub powtarzające się okresowo. Systematyczne monitorowanie to monitorowanie występujące zgodnie z określonym systemem, zaaranżowane, zorganizowane lub metodyczne. Może ono odbywać się w ramach generalnego planu lub określonej strategii.
Przykładowo:
- monitorowanie związane z obsługą sieci telekomunikacyjnej, świadczeniem usług telekomunikacyjnych,
- profilowanie i ocenianie dla celów oceny ryzyka (na przykład ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
- śledzenie lokalizacji (w tym w aplikacjach telefonicznych),
- monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych,
- zarządzanie programami lojalnościowymi.
d. Duża skala monitorowania
Aby opisane wyżej regularne i systematyczne monitorowanie wiązało się z obowiązkiem wyznaczenia IOD powinno występować na „dużą skalę”. Nie jest możliwe precyzyjne wskazanie, jaki rozmiar monitorowania stanowi już przedmiotową dużą skalę. Z RODO wynika jednak, iż operacje przetwarzania o dużej skali służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym. Operacje te mogą wpłynąć na dużą liczbę osób, których dane dotyczą. Przy określaniu, czy przetwarzanie następuje na dużą skalę należy uwzględniać:
- liczbę osób, których dane dotyczą (konkretna liczba osób lub procent społeczeństwa),
- zakres przetwarzanych danych osobowych,
- okres, przez jaki dane są przetwarzane,
- zakres geograficzny przetwarzania danych osobowych.
Przykładowo:
- przetwarzanie danych pacjentów przez szpital,
- przetwarzanie danych osób korzystających ze środków komunikacji miejskiej przez podmioty zarządzające systemem komunikacji (np. śledzenie ich za pośrednictwem kart miejskich),
- przetwarzanie danych klientów przez banki albo ubezpieczycieli,
- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,
- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Podmioty przetwarzające na dużą skalę dane wrażliwe
Trzecią kategorią podmiotów zobowiązanych do wyznaczenia IOD są podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Pojęcia „głównej działalności” oraz „dużej skali” zostały wyjaśnione powyżej. Analizy wymaga natomiast określenie „szczególnych kategorii danych osobowych”. Są one tradycyjnie nazywane danymi wrażliwymi lub sensytywnymi. Stosownie do art. 9 ust. 1 RODO należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Katalog tych kategorii jest zamknięty.
Przykładowo:
- podmioty lecznicze, przetwarzające dane o stanie zdrowia,
- ogólnopolskie partie polityczne, przetwarzające dane ujawniające poglądy polityczne swoich członków.
W jakiej sytuacji powołanie inspektora ochrony danych nie jest obowiązkowe?
RODO wymienia enumeratywnie podmioty, które są zobowiązane do powołania inspektora ochrony danych. Istotne znaczenie ma zatem odpowiedź na pytanie, kto nie musi mieć inspektora danych osobowych. Należy zatem stwierdzić, iż jednostki nienależące do żadnej z kategorii opisanych w art. 37 ust. 1 RODO mogą dobrowolnie wyznaczyć IOD. Nie jest to jednak obowiązkowe. Brak powołania inspektora nie będzie się zatem wiązał dla tych podmiotów z negatywnymi konsekwencjami.
Należy jednak pamiętać, iż dobrowolnie wyznaczenie inspektora ochrony danych skutkuje koniecznością przestrzegania tych samych obowiązków, jakie w świetle RODO ciążą na podmiocie zobligowanym do powołania IOD. Inaczej mówiąc, każdy administrator, który zdecydował się wyznaczyć inspektora jest traktowany w taki sposób, jakby był objęty przedmiotowym obowiązkiem i w tym zakresie może zostać objęty kontrolą PUODO. Wiąże się to z koniecznością ponoszenia nakładów finansowych wynikających z zatrudnienia odpowiedniej osoby na stanowisko IOD oraz zapewnienia jej odpowiednich zasobów materialnych, by mogła należycie wykonywać swoje obowiązki oraz utrzymywać fachowe kompetencje.
Administrator, u którego działa IOD, powinien również podjąć wysiłki organizacyjne, w tym zapewnić inspektorowi odpowiednią pozycję w strukturze organizacyjnej firmy, umożliwić dostęp do danych osobowych i dokonywanych operacji przetwarzania. Ewentualne inne zadania powierzane osobie zatrudnionej do pełnienia funkcji IOD nie mogą powodować konfliktu interesów, ani uniemożliwiać wykonywania obowiązków. Nieprzestrzeganie tych obowiązków może skutkować nałożeniem na administratora kary pieniężnej.
O podstawach nałożenia oraz wysokości kar pieniężnych przewidzianych w RODO pisaliśmy w artykule „Kary za naruszenie RODO. Kto je ponosi i ile wynoszą”.
Jak powołać inspektora ochrony danych osobowych?
Po wyjaśnieniu, kto ma obowiązek powołania inspektora danych osobowych, w dalszej kolejności należy ustalić, w jak powołać Inspektora Danych Osobowych. Istotne znaczenie ma zwłaszcza kwestia, który organ w ramach struktury organizacyjnej firmy jest uprawniony do powołania inspektora.
Zgodnie z obowiązującymi przepisami inspektora powołuje administrator lub podmiot przetwarzający, czyli jednoosobowy przedsiębiorca, spółka, spółdzielnia, czy też organ administracji. W odniesieniu do podmiotów kolegialnych (np. spółek lub urzędów) odpowiednią decyzję, powinien podjąć organ uprawniony do prowadzenia jej spraw oraz reprezentowania na zewnątrz (np. zarząd).
Samo powołanie inspektora ochrony danych osobowych nie wystarczy jednak do uznania, iż zostały spełnione przewidziane prawem obowiązki. Po wyznaczeniu inspektora konieczne jest ponadto dokonanie jego formalnego zgłoszenia. Wobec powyższego, doniosłe znaczenie ma odpowiedź na pytanie, kogo i w jakim terminie powiadamia się o wyznaczeniu inspektora.
W obecnym stanie prawnym, o wyznaczeniu IOD należy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zawiadomienie następuje w formie elektronicznej, za pośrednictwem strony internetowej UODO, przy wykorzystaniu Profilu Zaufanego lub podpisu kwalifikowanego. Zgłoszenie powinno zostać dokonane w terminie 14 dni od dnia wyznaczenia IOD.
Podmiot, który wyznaczył IOD ma ponadto obowiązek niezwłocznie zamieścić informację w tym przedmiocie na stronie internetowej. o ile dany przedsiębiorca nie prowadzi własnej strony internetowej, informacja o wyznaczeniu inspektora powinna zostać opublikowana w inny sposób, na ogólnodostępnym nośniku, w miejscu prowadzenia działalności.
Kto ma obowiązek powołania inspektora danych osobowych? – podsumowanie
RODO wymienia kategorie podmiotów, na których ciąży obowiązek powołania IOD. Poświęcony temu przepis opiera się na rozbudowanych definicjach oraz niejasnych i nieprecyzyjnych zwrotach. Każdy administrator i podmiot przetwarzający powinien przed przystąpieniem do przetwarzania danych dokonać analizy, czy ciąży na nim obowiązek wyznaczenia IOD zgodnie z RODO.
Z uwagi na możliwe negatywne konsekwencje związane z niepowołaniem inspektora ochrony danych w sytuacji, gdy istnieje taki obowiązek (włącznie z możliwością nałożenia na administratora kary pieniężnej), warto podejść do analizy w sposób wnikliwy i dokonać oceny z uwzględnieniem wszystkich aspektów prowadzonej działalności.
Jeśli podmiot nie decyduje się na powołanie IOD, powinien on zabezpieczyć swoje interesy na wypadek ewentualnej kontroli w zakresie wykonania obowiązków związanych z wyznaczaniem inspektora. Warto zatem, aby wskazana wyżej analiza została udokumentowana (nawet w postaci zleconej prawnikowi opinii prawnej) i przechowywana w firmie razem z dokumentacją dotyczącą ochrony danych osobowych. Pozwoli to, w razie wątpliwości uzasadnić i wykazać przed organem nadzorczym przyczyny, dla których administrator lub podmiot przetwarzający uznał, iż nie ciąży na nim obowiązek wyznaczenia IOD.
Wsparcie prawne w zakresie powołania inspektora ochrony danych
Jeśli zastanawiasz się, czy masz obowiązek powołania w swojej firmie inspektora ochrony danych, skontaktuj się z nami. Przeanalizujemy zakres prowadzonej przez Ciebie działalności związanej z danymi osobowymi i podpowiemy, czy musisz wyznaczyć IOD. jeżeli uznamy, iż nie podlegasz takiemu obowiązkowi, sporządzimy opinię prawną, na którą będziesz mógł powołać się w razie ewentualnej kontroli PUODO.
Nasza kancelaria w zakresie ochrony danych osobowych oferuje m. in.:
- analizę, czy podmiot zgodnie z RODO jest zobowiązany do powołania IOD,
- wsparcie prawne przy powołaniu i zgłoszeniu IOD,
- bieżące wsparcie prawne Inspektora Ochrony Danych Osobowych,
- wsparcie prawne przedsiębiorców przy kontrolach prowadzonych przez UODO oraz w razie wycieku danych.
Masz inne pytania związane z RODO? Zapoznaj się z usługami oferowanymi przez nas w zakresie ochrony danych osobowych. Zapraszamy do kontaktu.