Ogólne rozporządzenie o ochronie danych (RODO) powołało nową instytucję – inspektora ochrony danych (IOD)[1]. Zgodnie z intencją unijnego prawodawcy osoby pełniące tę funkcję mają dbać – w imieniu administratorów lub podmiotów przetwarzających – o prawidłowość przetwarzania danych w poszczególnych jednostkach organizacyjnych, innymi słowy: troszczyć o to, by przetwarzanie danych w tych jednostkach odbywało się zgodnie z wymogami RODO. W dalszej części tekstu omówimy, kto i w jakich okolicznościach musi wyznaczyć IOD, jakie są zadania tego podmiotu oraz jego status (i czym różni się on od ABI), a także w jaki sposób i w jakich terminach należy dokonywać zgłoszeń IOD do organu nadzorczego.
Kto i kiedy musi wyznaczyć IOD
Zgodnie z art. 37 RODO wyznaczenie IOD jest obowiązkowe, jeżeli:
- przetwarzania dokonują organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości);
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (czyli danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także danych genetycznych, biometrycznych lub dotyczących zdrowia, seksualności lub orientacji seksualnej) oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Żeby powyższe przepisy dobrze zrozumieć i prawidłowo zastosować, konieczne jest znalezienie odpowiedzi na pytanie, co oznaczają terminy: 1) przetwarzanie danych na dużą skalę, 2) główna działalność oraz 3) regularne i systematyczne monitorowanie. Przynoszą ją wytyczne Grupy Roboczej do spraw Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, nazywanej potocznie grupą roboczą art. 29. Wynika z nich, że aby ustalić, czy mamy do czynienia z przetwarzaniem „na dużą skalę”, należy uwzględnić:
- liczbę osób, których dane dotyczą (konkretna liczba albo odsetek określonej grupy społecznej);
- zakres przetwarzania danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych.
Jako przykłady przetwarzania danych na dużą skalę autorzy wytycznych podają m.in. przetwarzanie danych pacjentów przez szpital i przetwarzanie danych klientów przez banki, ubezpieczycieli oraz dostawców usług telefonicznych i internetowych, za przykłady przetwarzania danych na mniejszą skalę uważają natomiast przetwarzanie danych pacjentów przez jednego lekarza albo przetwarzanie danych dotyczących wyroków skazujących i czynów zabronionych przez jednego adwokata lub radcę prawnego[2].
„Główna działalność (administratora lub podmiotu przetwarzającego)” oznacza, według tych samych wytycznych, zasadnicze (a nie poboczne) czynności administratora lub podmiotu przetwarzającego. Innymi słowy: jest to działalność kluczowa z punktu widzenia osiągnięcia celów administratora lub podmiotu przetwarzającego, czyli taka, bez której realizacja tych celów byłaby niemożliwa (np. szpital zasadniczo zajmuje się leczeniem, ale nie jest w stanie rozliczać się ze świadczonych usług, jeżeli nie będzie przetwarzał danych osobowych pacjentów – a zatem przetwarzanie danych jest w tym wypadku także działalnością główną)[3].
O „regularnym” monitorowaniu osób, których dane dotyczą, możemy zaś mówić wówczas, gdy:
- jest ono stałe lub występuje w określonych odstępach czasu przez ustalony okres;
- jest ono cykliczne albo powtarza się w określonym terminie;
- odbywa się stale lub okresowo.
Monitorowanie „systematyczne” to z kolei takie monitorowanie, które:
- występuje zgodnie z określonym systemem;
- jest zaaranżowane, zorganizowane lub metodyczne;
- odbywa się w ramach generalnego planu zbierania danych;
- przeprowadzane jest w ramach określonej strategii.
Z regularnym i systematycznym monitorowaniem osób, których dane dotyczą, mogą się wiązać: świadczenie usług telekomunikacyjnych, przekierowywanie poczty elektronicznej, działania marketingowe oparte na danych, śledzenie lokalizacji przez aplikacje mobilne, profilowanie w celu oceny ryzyka kredytowego, programy lojalnościowe czy monitoring wizyjny[4].
Status IOD
Status IOD określa art. 38 RODO. Wynika z niego kilka zasad, które odnoszą się do współpracy IOD z administratorem lub podmiotem przetwarzającym oraz osobami, których dane dotyczą:
- Administrator i podmiot przetwarzający powinni zapewniać, by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
- Administrator i podmiot przetwarzający powinni wspierać IOD w wypełnianiu przez niego zadań, o których mowa poniżej, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej (udział w szkoleniach).
- Administrator i podmiot przetwarzający powinni dbać, by IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Nie mogą go odwoływać ani karać za wypełnianie tych zadań. IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
- Osoby, których dane dotyczą, mogą kontaktować się z IOD we wszystkich sprawach związanych z przetwarzaniem swoich danych osobowych oraz z wykonywaniem praw, które przysługują im na mocy RODO.
- IOD jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem UE lub prawem Rzeczypospolitej Polskiej.
- IOD może wykonywać inne obowiązki, niezwiązane wprost z ochroną danych. Administrator lub podmiot przetwarzający muszą zapewnić, by nie powodowały one konfliktu interesów.
IOD a ABI – zadania
Porównanie zadań dawnych administratorów bezpieczeństwa informacji i obecnych inspektorów ochrony danych przedstawimy w tabelach:
| ABI | IOD |
| prowadzenie rejestru zbiorów danych osobowych | x |
| x | współpraca z organem nadzorczym |
| x | udzielanie na żądanie zaleceń co do oceny skutków prowadzonych operacji przetwarzania dla ochrony danych oraz monitorowanie ich wykonania |
| x | pełnienie funkcji punktu kontaktowego dla organu nadzorczego |
| ABI | IOD |
| · nadzór nad prawidłowością przetwarzania danych
· prowadzenie regularnych audytów wewnętrznych (sprawdzeń) · tworzenie dokumentacji i nadzór nad nią |
monitorowanie przestrzegania RODO, innych przepisów UE lub Rzeczypospolitej Polskiej o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty |
| zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych | informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów UE lub Rzeczypospolitej Polskiej o ochronie danych i doradzanie im w tej sprawie |
Warto podkreślić, że choć obecnie obowiązujące przepisy nie wymagają prowadzenia rejestru zbiorów danych osobowych, a co za tym idzie inspektor ochrony danych nie musi wykonywać tego zadania (jak wcześniej ABI), to jednak nic nie stoi na przeszkodzie, by powierzyć mu inny, analogiczny obowiązek – prowadzenie rejestru czynności przetwarzania (gdy mowa o administratorze) lub rejestru kategorii czynności przetwarzania (gdy mowa o podmiocie przetwarzającym).
Zgłaszanie IOD do organu nadzorczego
Art. 37 ust. 7 RODO stanowi, że administrator lub podmiot przetwarzający publikują dane kontaktowe IOD i zawiadamiają o nich organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Procedurę tę reguluje szczegółowo Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych[5].
Z art. 10 ust. 1 ww. ustawy wynika, że termin na zawiadomienie PUODO o wyznaczeniu IOD wynosi 14 dni, licząc od dnia jego wyznaczenia. Zawiadomienie – zgodnie z art. 10 ust. 3 ustawy – powinno zawierać:
- imię, nazwisko oraz adres e-mailowy lub numer telefonu IOD;
- dane podmiotu, który dokonuje zgłoszenia:
- w przypadku osoby fizycznej – imię, nazwisko i adres;
- w przypadku osoby fizycznej prowadzącej działalność gospodarczą – firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej;
- w innych przypadkach – pełną nazwę i adres siedziby;
- numer identyfikacyjny REGON (jeżeli został nadany).
O ewentualnych zmianach danych podlegających zgłoszeniu lub o odwołaniu IOD należy poinformować organ nadzorczy w ciągu 14 dni od dnia zaistnienia zmiany lub odwołania inspektora (art. 10 ust. 4 ustawy). Zawiadomienie to – podobnie jak wcześniejsze, dotyczące wyznaczenia IOD – sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP (art. 10 ust. 6 ustawy). Podmioty, które wyznaczyły IOD, mają ponadto obowiązek niezwłocznego opublikowania jego danych (imię, nazwisko oraz adres e-mailowy lub numer telefonu) na swojej stronie internetowej, a jeżeli jej nie prowadzą – obowiązek sprawienia, by były one ogólnie dostępne w miejscu prowadzenia działalności (art. 11 ustawy).
Okres przejściowy
Zasady obowiązujące w okresie przejściowym określa art. 158 wspomnianej ustawy o ochronie danych osobowych[6]. Wynika z niego, że podmiot, który przed 25 maja 2018 r. nie powołał ABI, a zgodnie z art. 37 RODO powinien wyznaczyć IOD, może to uczynić w terminie do 31 lipca 2018 r. Taki sam termin ma też na zawiadomienie organu nadzorczego o wyznaczeniu IOD. Jeśli zaś przed 25 maja 2018 r. podmiot powołał ABI, to osoba wykonująca zadania ABI stała się z tą datą IOD i zasadniczo pełni swoją funkcję do 1 września 2018 r. Okres ten może zostać skrócony lub wydłużony: skrócony – jeżeli przed 1 września 2018 r. podmiot zawiadomi organ nadzorczy o wyznaczeniu na IOD innej osoby; wydłużony – jeżeli do tego dnia podmiot zawiadomi organ nadzorczy o wyznaczeniu na IOD tej osoby, która przed 25 maja 2018 r. pełniła funkcję ABI. Jeśli podmiot nie podejmie żadnej z tych czynności, po 1 września 2018 r. obecny IOD straci swoją funkcję. Osoba, która przed 25 maja 2018 r. pełniła funkcję ABI, a po tej dacie stała się IOD, może zostać odwołana bez zawiadamiania organu nadzorczego, pod warunkiem że zgodnie z unijnym rozporządzeniem podmiot nie ma obowiązku wyznaczania IOD.
Podsumowanie
Niezależnie od tego, czy poszczególni administratorzy lub podmioty przetwarzające mają obowiązek wyznaczenia IOD, czy nie, trzeba pamiętać, że – po pierwsze – instytucja ta nie jest żadnym novum (a jeżeli już, to tylko w tym sensie, że kompetencje IOD są szersze niż uprawnienia dawnego ABI), po drugie zaś – może stanowić dla administratora lub podmiotu przetwarzającego istotne wsparcie merytoryczne i przyczynić się do usprawnienia wielu procesów przetwarzania. Aby tak się jednak stało, musi być spełniony jeden zasadniczy warunek: pełnienie funkcji IOD lepiej powierzyć profesjonaliście.
[1] Lub z angielskiego: DPO, czyli data protection officer.
[2] Wytyczne dotyczące inspektorów ochrony danych (DPO), przyjęte 13 grudnia 2016 r., ostatnio zmienione i przyjęte 5 kwietnia 2017 r., https://giodo.gov.pl/1520282/id_art/9740/j/pl, s. 8-9.
[3] Ibidem, s. 8.
[4] Ibidem, s. 9-10.
[5] Zobacz także: https://uodo.gov.pl/pl/121/193.
[6] Zobacz także: https://uodo.gov.pl/pl/138/271.
Zapraszamy na szkolenie: 5-dniowe Kompleksowe Szkolenie dla Inspektora Ochrony Danych.
