GDPR przewiduje możliwość, a w pewnych sytuacjach konieczność wyznaczenia inspektora ochrony danych. Uprawnienie, względnie obowiązek do wyznaczenia takiej osoby przysługuje zarówno administratorowi danych (ADO), jak i podmiotowi przetwarzającemu dane (a więc temu, któremu ADO zlecił przetwarzanie danych w swoim imieniu).
Kiedy inspektor ochrony danych musi być wyznaczony?
Przepis art. 37 ust. 1 GDPR stanowi, że obowiązek wyznaczenia inspektora ochrony danych dotyczy sytuacji, w których:
- a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Wyzwaniem interpretacyjnym jest zatem dokonanie oceny, czy po stronie podmiotu (ADO lub podmiotu przetwarzającego dane) w ogóle istnieje obowiązek wyznaczania inspektora ochrony danych. O ile nie powoduje problemów wskazanie czy dany podmiot jest organem lub podmiotem publicznym, to już pewne wątpliwości budzi dokonanie jednoznacznego stwierdzenia, czy podmiot przetwarza szczególne kategorie danych na „dużą skalę” bądź też przetwarzanie danych, które prowadzi, stanowi jego „główną działalność”.
Analiza problemu na przykładzie aptek prowadzonych w formie jednoosobowej działalności gospodarczej
Jako przykład podmiotów, które będą musiały odpowiedzieć sobie na pytanie czy kwalifikują się do obowiązkowego wyznaczenia inspektora ochrony danych wskazać można np. przedsiębiorców prowadzących apteki. Nie sposób zaprzeczyć, że podmioty tego typu przetwarzają szczególne kategorie danych. Przetwarzanie informacji o stanie zdrowia klientów apteki, pozyskanych chociażby z recept, należy do zasadniczej działalności aptek. Można więc uznać, że jest to główna oś aktywności takich podmiotów. Warto w tym miejscu podeprzeć się częścią nienormatywną GDPR tj. jego motywem 97, który wskazuje, że za główną działalność podmiotu polegającą na przetwarzaniu danych należy rozumieć taką działalność, która jest zasadniczą, a nie poboczną dla niego aktywnością. Apteki wydają się być zatem podmiotami, które przetwarzają tego typu dane w ramach głównej działalności.
W motywie nie ma natomiast wyjaśnienia na temat tego jak interpretować ową „dużą skalę”. Wydaje się, że umieszczenie odniesienia do owej „dużej skali” jest zabiegiem celowym. Nie sposób nie zauważyć, że GDPR – jako, że z założenia ma dostarczać ramy prawne do stosunków prawnych w dynamicznie rozwijającej się rzeczywistości – naszpikowane jest rozwiązaniami zapewniającymi jego elastyczność. Ustawodawca zastrzegając, że oprócz przetwarzania wyżej wymienionej kategorii danych w ramach głównej działalności, podmiot ten ma je jeszcze przetwarzać „na dużą skalę”, otworzył tym samym furtkę do miarkowania potrzeby posiadania inspektora ochrony danych.
Pozostaje więc otwartym pytanie czy ta istotna dla działalność aptek aktywność spełnia kryterium działalności prowadzonej na „dużą skalę”? Czy wystarczy, że owa „duża skala” zachodzi w odniesieniu do możliwości operacyjnych konkretnego podmiotu czy też należy ten związek frazeologiczny odnosić do skali w znaczeniu obiektywnym. W mojej ocenie chodzi tutaj o skalę w wymiarze obiektywnym, a nie skalę ujmowaną z pozycji zainteresowanego podmiotu. „Dużą skalę” wiązałabym z przetwarzaniem danych, które odbywa się na wiele sposobów, różnymi metodami, obejmuje zasięgiem znaczny obszar, a nie przetwarzaniem danych w celu zrealizowania podstawowej, świadczonej przez siebie lokalnie, usługi.
W mojej ocenie działalność apteki prowadzonej w formie jednoosobowej działalności gospodarczej nie będzie wymagała wyznaczenia inspektora ochrony danych. Co prawda przetwarzanie danych wrażliwych pozostaje w nierozerwalnym związku z prowadzoną działalnością, ale nie można uznać by skala tej działalności mogła być określona dużą
w rozumieniu przepisów GDPR.
Stanowisko Grupy Roboczej Art. 29
W dniu 13 grudnia 2016 r. Grupa Robocza Art. 29 przyjęła wytyczne dotyczące inspektorów ochrony danych (DPO). W dokumencie tym Grupa odniosła się m. in. do pojęć „głównej działalności” oraz „dużej skali”.
Grupa, na podstawie motywu 97 GDPR, stwierdziła, że za „główną działalność” uznać należy taką działalność, która zasadniczo nie może się odbyć bez przetwarzania danych. Jako przykład przywołano działalność szpitala, który nie jest ukierunkowany na przetwarzanie danych osobowych, a na leczenie pacjentów. Leczenie to nie może jednak odbywać się bez przetwarzania danych osobowych.
Przechodząc do analizy pojęcia „dużej skali” Grupa wskazała, że z uwagi na to, że nie jest możliwym wskazanie konkretnej wartości, która dla każdej organizacji miałaby określać „dużą skalę”, to pomocnym może być wskazanie czynników, pomocnych w ustaleniu jej zajścia. Według Grupy czynnikami takimi mogą być:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- zakres przetwarzanych danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych.
Jako przykłady działalności, która jest prowadzona na „dużą skalę” wskazano:
- przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Aby zilustrować działalność przeciwną, a więc taką, która nie jest prowadzona na „dużą skalę”, odwołano się do działalności prowadzonej przez pojedynczego lekarza lub prawnika.
Posiadanie kwalifikacji zawodowych
GDPR, podobnie jak obowiązująca ustawa o ochronie danych osobowych (UODO), wymaga, aby inspektor ochrony danych osobowych wyznaczany był na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych oraz umiejętności wypełniania zadań. Pojawia się zatem kolejne wyzwanie natury interpretacyjnej, a mianowicie jak zweryfikować, że osoba będąca dla podmiotu kandydatem na inspektora ochrony danych rzeczywiście spełnia wymogi przewidziane tej funkcji, mówiąc wprost, posiada wiedzę i cechy, które zapewnią sprawne
i zgodne z prawem przetwarzanie danych w organizacji. Warto w tym miejscu odnieść się do sugestywnej obserwacji GIODO dotyczącej przyczyn odwoływania – na gruncie UODO – administratorów bezpieczeństwa informacji (ABI). Otóż, okazuje się, że jednymi z pierwszych wniosków o zmianę osoby powołanej na funkcję ABI były wnioski uzasadniane niespełnianiem przez powołane osoby wymogu posiadania odpowiedniej wiedzy w zakresie ochrony danych osobowych (Andrzej Lewiński, Polska i Europejska Reforma Ochrony Danych Osobowych, Wolters Kluwer S. A., 2016, s.153).
Po stronie ADO będzie zatem wciąż istniał ciężar dokonania oceny czy wiedza i doświadczenie prezentowane przez potencjalnego inspektora pozwoli mu na sprawne wykonywanie obowiązków wynikających z GDPR.
Podsumowanie
Konkludując, wiele z przepisów GDPR odwołuje się do oceny kryteriów. Użycie tego typu zabiegu legislacyjnego powoduje, że z sytuacji – do której rynek był przyzwyczajony – konieczności dostosowania się do wprost wskazanych wymogów UODO, trzeba będzie „uszyć na swoją miarę” system ochrony danych w organizacji, oparty na przepisach GDPR. Przytaczając po raz kolejny przykład aptek, nie sposób nie zauważyć, że rezygnacja
z odwołania do „dużej skali” powodowałby, iż wszystkie apteki, niejako z przymusu, musiałyby wyznaczyć inspektora. Dodanie zaś wymogu zaistnienia „dużej skali” spowodowało, że podmiot samodzielnie będzie musiał ocenić czy spełnia to kryterium.
Dodatkowo, decyzja o wyznaczeniu inspektora ochrony danych osobowych będzie musiała być podjęta przy świadomości, że brak wyznaczenia inspektora, tam gdzie jest on wymagany, pociągać może za sobą nałożenie przez organ nadzorczy (aktualnie: GIODO) kary administracyjnej. Jak bowiem wynika z przepisu art. 83 ust. 4a, naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa
w art. 8, 11, 25 –39 oraz 42 i 43, podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Analogiczne wnioski nasuwają się co do oceny posiadania przez kandydata na inspektora ochrony danych stosownych kwalifikacji zawodowych. GDPR nie precyzuje konkretnych wymogów stawianych takim osobom, i pozostawia decyzję co do ich spełnienia podmiotowi, który inspektora ma wyznaczyć.
Warto także w tym miejscu przytoczyć stanowisko GIODO, w którym organ przypomniał,
że zgodnie z rekomendacją Grupy Roboczej Art. 29, administrator danych lub podmiot przetwarzający powinni stworzyć dokument potwierdzający analizę, iż nie są zobowiązani do wyznaczenia inspektora ochrony danych[1]. Podjęcie decyzji o wyznaczeniu inspektora będzie musiało być poprzedzone rozważaniami, które powinny zostać udokumentowane. Praktyka taka wpisuje się w filozofię privacy by design, która przyświeca GDPR.
W mojej ocenie unijny prawodawca celowo przy tworzeniu omawianego aktu prawa zastosował techniki legislacyjne zapewniające elastyczność jego norm. Interpretacja GDPR może co prawda powodować pewne problemy, jednakże zastosowany zabieg spowodował,
że ten akt prawa zachowa swoją aktualność przez wiele lat.
Autor: Marta Bargiel-Kaflik
[1] http://www.giodo.gov.pl/1520281/id_art/9826/j/pl/