Zanim odpowiem na pytanie, zacznę od uporządkowania kim jest inspektor ochrony danych i dlaczego w ogóle musimy się zastanawiać do czego jest on potrzebny w firmie.

Rozporządzenie o ochronie danych wprowadza instytucję Inspektora Ochrony Danych (IOD), które zastępuje dotychczasowego ABI (Administratora Bezpieczeństwa Informacji).

Inspektor ochrony danych jest osobą, która ma za zadanie sprawdzanie zgodności przetwarzania danych z rozporządzeniem o ochronie danych (RODO).

Trochę enigmatycznie brzmi? To spróbuję inaczej.

 

Są sytuacje, kiedy zarówno administrator danych, jak i podmiot przetwarzający potrzebują fachowej pomocy, wsparcia osoby dysponującej wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. I właśnie taką rolę ma Inspektor Ochrony Danych (IOD).

W ramach monitorowania inspektorzy mogą m.in.:

  • zbierać informacje w celu identyfikacji procesów przetwarzania;
  • analizować i sprawdzać zgodność tego przetwarzania;
  • informować, doradzać i rekomendować określone działania administratorowi albo podmiotowi przetwarzającemu.

Uwaga! Monitorowanie nie oznacza odpowiedzialności inspektora w przypadkach naruszenia RODO.

Z rozporządzenia jasno wynika, iż to administrator, a nie inspektor wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać.

Kiedy firma potrzebuje inspektora ochrony danych?

Dobra wiadomość jest taka, że nie każdy podmiot przetwarzający dane będzie musiał powołać Inspektora. Zatem, kiedy jest potrzebny inspektor? Rozporządzenie w art. 37(1) RODO wymienia kto jest zobowiązany do powołania IOD. Są to:

  • organy lub podmioty publiczne
  • podmioty, w których główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę
  • podmioty, w kutych główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Postaram się wyjaśnić poniżej kilka wątpliwych i nieostrych pojęć.

Organy lub podmioty publiczne

Rozporządzenie nie definiuje pojęcia „podmiotu publicznego” zostawiając to do uregulowania na poziomie krajowym.

Jednak nawet bez definicji intuicyjnie rozumiemy, że mowa tutaj  o urzędach, jednostkach budżetowych, administracji publicznej.

Grupa robocza analizują ten artykuł uznała, że mieszczą się w tym pojęciu także osoby fizyczne i prawne podlegające prawu publicznemu lub prywatnemu, w sektorach takich jak np. transport publiczny, dostarczanie wody i energii, infrastruktura drogowa, radiofonia i telewizja, budynki użyteczności publicznej albo organy powołane dla zwodów regulowanych (za: Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) przyjęte w dniu 13 grudnia 2016r.).

 

Główna działalność administratora

Wśród czytelników pojawia się pytanie: jak rozumieć główną działalność?

Ważne, abyś przeanalizował jaki jest główny cel Twojej działalności (sprzedaż zabawek, tresura psów, mentoring??)

Przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.

Dla przykładu czynności związane ze sprzedażą zabawek w sklepie internetowym są zasadniczą, główną działalnością. I związane  z tą sprzedażą przetwarzania danych klientów dotyczy tego głównego zakresu prowadzonej działalności. Jeżeli jednak zatrudniasz pracowników, to prowadzenie listy płac jest czynnością poboczną.

Innym przykładem jest przetwarzanie danych przez szpital. Główną działalnością szpitali jest zapewnianie opieki medycznej. Dlatego działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna.

 

Duża skala przetwarzania

Także pojęcie „duża skala” nie jest zdefiniowane w rozporządzeniu. Jednak pewne wskazówki znajdziemy w motywie 91.

Zastanawiając się, czy przypadkiem nie działasz na dużą skalę warto wziąć pod uwagę:

  • liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa
  • zakres przetwarzanych danych osobowych
  • okres, przez jaki dane są przetwarzane
  • zakres geograficzny przetwarzania danych osobowych.

Na przykład na dużą skalę  przetwarzają szpitale, ale już nie pojedynczy lekarz przyjmujący w ramach indywidualnej praktyki, czy adwokaci lub radcowie prawni w indywidualnych kancelariach.

Regularne i systematyczne monitorowanie

Nie będzie dla Ciebie zaskoczeniem, że i tym razem nie znajdziesz definicji „regularnego” i „systematycznego monitorowania”.

Dlatego odniosę się do stanowiska Grupy roboczej art. 29. Uznała ona, że regularne  oznacza:

  • Stałe albo występujące w określonych odstępach czasu przez ustalony okres;
  • Cykliczne albo powtarzające się w określonym terminie;
  • Odbywające się stale lub okresowo.

Natomiast systematyczne  należy rozumieć, jako:

  • Występujące zgodnie z określonym systemem;
  • Zaaranżowane, zorganizowane lub metodyczne;
  • Odbywające się w ramach generalnego planu zbierania danych;
  • Przeprowadzone w ramach określonej strategii.

 

Przykład: profilowanie i ocenianie dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy; programy lojalnościowe, reklama behawioralna.

Uwaga! Mała firma rodzinna nie musi sama wyznaczać inspektora ochrony danych. Jeżeli jednak zdecydujesz się dobrowolnie na takie rozwiązanie, wówczas obowiązują ciebie wszystkie przepisy, które dotyczą IOD.

 

Mam nadzieję, że nieco rozjaśniłam kwestie konieczności powoływania Inspektora Ochrony Danych i jesteś w stanie oszacować, czy spełniasz przesłanki (lub nie).

Jeszcze na koniec podział zadań Inspektora.

 

ZADANIA INSPEKTORA OCHRONY DANYCH

O CHARAKTERZE WEWNĘTRZNYM

 

  • działania wobec administratora danych
  • działania wobec podmiotu przetwarzającego
  • działania wobec personelu administratora lub podmiotu przetwarzającego

O CHARAKTERZE ZEWNĘTRZNYM

 

  • kontakt i współpraca z organem nadzorczym
  • kontakty z osobami, których dane dotyczą, jeśli nie są personelem administratora

 

Jeśli spodobał ci się artykuł, koniecznie podziel się nim ze znajomymi