Kto powinien wyznaczyć Inspektora Ochrony Danych?
Stosownie do artykuł 37 RODO administrator i podmiot przetwarzający zobowiązani są wyznaczyć inspektora ochrony danych, zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.
Przez organy i podmioty publiczne obowiązane do wyznaczenia IOD, o których mowa powyżej rozumie się jednostki sektora finansów publicznych (np. jednostki samorządu terytorialnego, uczelnie publiczne), instytuty badawcze oraz Narodowy Bank Polski.
Zgodnie z motywem 97 rozporządzenia przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Zatem „główną działalność” należy interpretować, jako działalność kluczową z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. W tym zakresie Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych podają następujące przykłady:
(…) działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania DPO. Kolejnym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać DPO.
RODO nie definiuje również powołanego w przepisach przetwarzania na dużą skalę. W tym zakresie wskazówek należy również szukać w Wytycznych Grupy Roboczej art. 29, która zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- zakres przetwarzanych danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych.
Za przykłady przetwarzania danych osobowych na dużą skalę uznaje się:
- przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
- przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej;
- przetwarzanie danych geo-lokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki; Przetwarzanie danych (dotyczących treści, ruchu,
- lokalizacji) przez dostawców usług telefonicznych lub internetowych.
W pozostałych przypadkach wyznaczenie IOD nie jest obowiązkowe, jednakże warto w tym aspekcie będąc administratorem lub podmiotem przetwarzającym przeprowadzić oraz udokumentować wewnętrzną procedurę weryfikacji poszczególnych przesłanek z art. 37 ust. 1 RODO w celu ustalenia istnienia lub braku tego obowiązku.
O tym jak skutecznie wdrożyć RODO w sklepie internetowym pisaliśmy już na naszym blogu: Jak skutecznie wdrożyć RODO w swoim sklepie internetowym.
Jakie kwalifikacje powinien mieć Inspektor Ochrony Danych?
Zgodnie z art. 37 ust. 5 RODO inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Dodatkowo poziom wiedzy IOD powinien być ustalany w kontekście konkretnych potrzeb administratora danych i procesora, Grupa Robocza wskazuje, iż wymagany poziom wiedzy fachowej musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Tak więc wybór IOD powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w ramach jednostki.
Tematykę polityki prywatności oraz plików cookies poruszaliśmy już na naszym blogu: Jak napisać politykę prywatności i cookies zgodne z RODO.
Jakie są obowiązki administratora oraz podmiotu przetwarzającego w zakresie współpracy z IOD?
Stosownie do postanowień art. 38 RODO administrator oraz podmiot przetwarzający zobowiązani są współpracować z inspektorem, w szczególności:
- zapewnić, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych;
- wspierać inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej;
- zapewnić, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań.
Dodatkowo IOD nie może być również odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.
Należy mieć również na uwadze, iż inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Tak więc, niedopuszczalne jest powołanie na IOD osoby będącej kierownikiem (zarządzającym) podmiotu będącego administratorem lub podmiotem przetwarzającym, np. dyrektora szkoły, wójta, członka zarządu spółki.
Inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza tego grona pracowników np. poprzez outsourcing.
Jakie są główne zadania Inspektora Ochrony Danych?
Do głównych zadań IOD należą w szczególności:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania rozporządzenia Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
- współpraca z organem nadzorczym;
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
O czym należy pamiętać wyznaczając IOD?
Zgodnie z przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych podmiot, który wyznaczył inspektora, zobowiązany jest:
- zawiadomić Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora;
- udostępnić dane inspektora, takie jak imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.
W czym możemy pomóc Ci pomóc?
- Analizujemy, weryfikujemy oraz tworzymy dokumentację wewnętrzną z zakresu ochrony danych osobowych,
- dokonujemy audytu strony internetowej oraz zawartej na niej polityki prywatności,
- tworzymy umowy z zakresu ochrony danych osobowych oraz klauzule informacyjne zgodne z wymogami prawa.
FAQ: Inspektor Ochrony Danych
Inspektor Ochrony Danych to osoba fizyczna powołana przez administratora lub podmiot przetwarzający w celu doradztwa, nadzoru zgodności z RODO oraz obsługi kontaktu z UODO i osobami, których dane dotyczą.
Obowiązek powołania IOD dotyczy m.in. jednostek sektora publicznego, przetwarzających duże ilości danych wrażliwych lub monitorujących osoby na dużą skalę. Inne podmioty mogą powołać go dobrowolnie, ale muszą spełnić te same wymagania.
IOD informuje pracowników o obowiązkach wynikających z przepisów, monitoruje zgodność z ochroną danych, prowadzi szkolenia i audyty, doradza przy ocenach skutków dla ochrony danych (DPIA) i współpracuje z UODO oraz osobami, których dane dotyczą.
Tak – IOD może być zatrudniony wewnętrznie lub wyznaczony jako zewnętrzny ekspert. Ważne, aby posiadał odpowiednią wiedzę i działał niezależnie, bez konfliktu interesów.
IOD ma wykonywać swoje zadania autonomicznie i bez instrukcji ze strony administratora, odpowiadając bezpośrednio przed najwyższym kierownictwem organizacji.
Brak wymaganej obsady IOD lub niedozwolony konflikt interesów może prowadzić do kar administracyjnych oraz utraty zgodności z RODO – np. błędnych zawiadomień do UODO lub braku punktu kontaktowego dla osób, których dane dotyczą.
Podsumowanie – Inspektor Ochrony Danych
- IOD to niezależny ekspert wspierający administratora w zgodności z przepisami RODO i kontaktach z UODO.
- Obowiązkowy w instytucjach publicznych oraz przy dużym przetwarzaniu danych wrażliwych lub monitorowaniu.
- Kluczowe zadania: doradztwo, szkolenia, audyty, DPIA, punkt kontaktowy dla osób i organów.
- Może być wewnętrzny lub zewnętrzny, ale zawsze musi działać bez konfliktu interesów.
- Brak prawidłowego wyznaczenia IOD może skutkować karami administracyjnymi.
