W dniu 16 grudnia br. zostały opublikowane przez grupę roboczą art. 29 wytyczne dot. funkcjonowania DPO. Opinia została przygotowana w formie poradnikowej, by ułatwić jej odbiór oraz by miała charakter jak najbardziej praktyczny. Poradnik w dużej części wyjaśnia wątpliwości interpretacyjne niektórych artykułów dot. DPO m.in. te dotyczące danych kontaktowych dot. DPO w obowiązkach informacyjnych czy też obowiązku powołania DPO.
Poniżej prezentujemy skrótowo jedne z ciekawszych elementów opinii:
Obowiązkowe powołanie DPO
- Jeżeli organizacja powoła dobrowolnie DPO będzie on podlegał tym samym wymogom i miał te same zadania co obowiązkowy DPO (2.1.)
When an organisation designates a DPO on a voluntary basis, the same requirements under Articles 37 to 39 will apply to his or her designation, position and tasks as if the designation had been mandatory.
- Powołanie DPO w administracji publicznej – nie tylko typowe organy państwowe będą musiały powołać DPO, ale też inne podmioty realizujące zadania publiczne, chociaż działają w sektorze publicznym np. ZTM, Spółki Skarbu Państwa, a także samorządy zawodowe (2.1.1) (str.6)
A public task may be carried out, and public authority may be exercised[1] not only by public authorities or bodies but also by other natural or legal persons governed by public or private law, in sectors such as, according to national regulation of each Member State, public transport services, water and energy supply, road infrastructure, public service broadcasting, public housing or disciplinary bodies for regulated professions.
- Główna działalność – kluczowe działania mające na celu realizację wyznaczonych przez ADO celów. (2.1.2) (str.6)
Article 37(l)(b) and (c) of the GDPR refers to the 'core activities of the controller or processor’. Recital 97 specifies that the core activities of a controller relate to ‘primary activities and do not relate to the processing of personal data as ancillary activiities’. ‘Core activities’ can be considered as the key operations necessary to achieve the controller’s or processor’s goals.
- Podmioty przetwarzające na dużą skalę dane osobowe – przykłady (str.7):
- Szpital
- Geolokalizacja klientów
- Banki i ubezpieczenia w zakresie monitorowania zobowiązań wobec nich
- Reklamy behawioralne
Doświadczenie i umiejętności DPO
- Skalowalność umiejętności (str.10)
Article 37(5) provides that the DPO ‘shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39′. Recital 97 provides that the necessary level of expert knowledge should be determined according to the data processing operations carried out and the protection required for the personal data being processed.
- Wiedza DPO – nie ma sprecyzowanej (str.10):
- Znajomość prawa ochrony danych osobowych, przepisów sektorowych oraz głębokie zrozumienie GDPR
- Organ nadzorczy powinien robić szkolenia dla DPO
- DPO powinien rozumieć sektor, w którym doradza
Although Article 37(5) does not specify the professional qualities that should be considered when designating the DPO, it is a relevant element that DPOs should have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR. It is also helpfull if the supervisory authorities promote adequate and regular training for DPOs.
Knowledge of the business sector and of the organisation of the controller is useful. The DPO should also have sufficient understanding of the processing operations carried out, as well as the information systems, and data security and data protection needs of the controller.
In the case of a public authority or body, the DPO should also have a sound knowledge of the administrative rules and procedures of the organisation.
Dane osobowe DPO – obowiązek informacyjny
Tylko dane kontaktowe, imię i nazwisko publikowane jako dobra praktyka
The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postał address, a dedicated telephone number, and a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website.
Article 37(7) does not require that the published contact details should include the name of the DPO. Whilst it may be a good practice to do this, it is for the controller and the DPO to decide whether this is necessary or helpful in the particular circumstances.
Brak instrukcji dla DPO
Nie można wskazywać DPO jak ma wykonywać swoje obowiązki oraz jakie powinien uzyskać w związku z nią rezultaty.
This means that, in fulfilling their tasks under Article 39, DPOs must not be instructed how to deal with a matter, for example, what result should be achieved, how to investigate a complaint or whether to consult the supervisory authority.
Odwołanie i karanie DPO
- To prawo umacnia rolę i autonomię DPO
This requirement also strengthens the autonomy of DPOs and helps ensure that they act independently and enjoy sufficient protection in performing their data protection tasks.
- Zakaz nakładania kar na DPO dotyczy również kar pośrednich np. brak awansu
Penalties may take a variety of forms and may be direct or indirect. They could consist, for example, of absence or delay of promotion; prevention from career advancement; denial from benefits that other employees receive.
Obowiązek monitorowania zgodności z GDPR
Obowiązek monitorowania zgodności z GDPR nie oznacza, że DPO jest odpowiedzialny za jej brak.
Monitoring of compliance does not mean that it is the DPO who is personally responsible where there is an instance of non-compliance.
Monitorowanie zgodności może polegać na:
As part of these duties to monitor compliance, DPOs may, in particular:
- collect information to identify processing activities,
- analyse and check the compliance of processing activities, and
- inform, advise and issue recommendations to the controller or the processor.
Rola DPO przy przeprowadzaniu DPIA
DPO sam nie wykonuje DPIA, a tylko doradza jak ADO ma go wykonać.
According to Article 35(1), it is the task of the controller, not of the DPO, to carry out, when necessary, a data protection impact assessment (‘DPIA’). However, the DPO can play a very important and useful role in assisting the controller.
Rekomendowany zakres doradztwa DPO związany z DPIA
The WP29 recommends that the controller should seek the advice of the DPO, on the following issues, amongst others:
- whether or not to carry out a DPIA
- what methodology to follow when carrying out a DPIA
- whether to carry out the DPIA in-house or whether to outsource it
- what safeguards (including technical and organisational measures) to apply to mitigate any risks to the rights and interests of the data subjects
- whether or not the data protection impact assessment has been correctly carried out and whether its conclusions (whether or not to go ahead with the processing and what safeguards to apply) are in compliance with the GDPR
Rola DPO w risk-based approach
DPO powinien skupiać swoją uwagę na wszystkich rodzajach zagrożeń, jednak w szczególności powinien kontrolować te o wysokim stopniu zagrożenia
In essence, it requires DPOs to prioritise their activities and focus their efforts on issues that present higher data protection risks. This does not mean that they should neglect monitoring compliance of data processing operations that have comparatively lower level of risks, but it does indicate that they should focus, primarily, on the higher-risk areas.