LexDigital

Dla kogo powołanie IOD to obowiązek?

Zgodnie z RODO obecnych Administratorów Bezpieczeństwa Informacji (ABI) zastąpić mają Inspektorzy Ochrony Danych (IOD). Podmioty te będą znacząco różniły się od ABIch. W niektórych wypadkach Administrator Danych Osobowych (ADO) będzie miał obowiązek ich powołania.

Dla kogo powołanie IOD to obowiązek?

Obowiązek powołania Inspektora Ochrony Danych

W RODO zostały wyraźnie wskazane trzy przypadki, kiedy Administrator Danych Osobowych i podmiot przetwarzający dane są zobowiązani do powołania Inspektora Ochrony Danych:

  1. gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (przesłanka ta nie dotyczy więc zwykłych przedsiębiorców),
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (dotyczy to więc przykładowo profilowania i oceny osób w ramach szacowania ryzyka, w celu przyznania zniżek składek ubezpieczeniowych),
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne czy też danych dotyczących zdrowia przetwarzanych przez szpitale), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Inspektor Ochrony Danych w podmiotach publicznych

Pierwszy przypadek, w którym na administratorze spoczywa obowiązek powołania IOD dotyczy administratorów będących organem lub podmiotem publicznym. W RODO nie znajdziemy definicji pojęcia „organu lub podmiotu publicznego”, dlatego też szczegółowych informacji w tym zakresie można szukać w wytycznych Grupy Roboczej art. 29 (podmiotu doradczego). Zgodnie z nimi, wskazane pojęcie obejmuje przede wszystkim organy władzy krajowej, organy regionalne i lokalne. Co jednak z podmiotami, które świadczą usługi użyteczności publicznej, takie jak przykładowo transport publiczny, dostarczanie wody czy usługi pocztowe? Otóż wskazuje się, że z uwagi na podobieństwo tych jednostek do instytucji publicznych, zalecane jest również w ich przypadku powołanie IOD, w ramach dobrych praktyk.

Inspektor Ochrony Danych a główna działalność przedsiębiorstwa i duża skala przetwarzania

W pozostałych dwóch przypadkach, kiedy to powołanie IOD jest obowiązkowe, zasadnicze znaczenie ma zdefiniowanie dwóch pojęć, tj. „główna działalność” i „duża skala”. W odniesieniu do pierwszego z nich, zgodnie z motywami RODO, w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego kluczowe, a nie poboczne czynności. Przykładowo, dla szpitali główną działalnością jest ochrona zdrowia pacjentów. Żeby jednak móc wykonywać to zadanie, szpital musi przetwarzać dane osobowe pacjentów, np. karty historii choroby.

Jeżeli chodzi o drugą przesłankę, tj. „dużą skalę”, to RODO nie określa wprost żadnych liczb w tym zakresie, w szczególności ilości osób, których danych ma dotyczyć przetwarzanie, a która uzasadniałaby jednoznaczne zaliczenie do „dużej” lub małej skali. Grupa Robocza art.  29 wskazała jednak kilka przykładów, kiedy można mówić o przetwarzaniu na dużą skalę: śledzenie podróżnych korzystających z „kart miejskich”, czy też przetwarzanie danych przez banki, zakłady ubezpieczeń, dostawców usług telefonicznych lub internetowych.

Inspektor Ochrony Danych w sytuacji regularnego i systematyczne monitorowania osób

Obok podmiotów publicznych, obowiązek powołania Inspektora Ochrony Danych spoczywa na administratorze, którego działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą. Na pierwszy rzut oka wydawać by się mogło, że przesłanka ta dotyczy śledzenia internautów, jednak należy ją rozumieć znacznie szerzej. W wytycznych Grupy Roboczej art. 29 wskazano następujące przykłady takiej działalności:

  • obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
  • śledzenie lokalizacji (na przykład przez aplikacje mobilne),
  • programy lojalnościowe czy reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, itd.

W związku z tym, jeżeli administrator świadczy co najmniej jedną z wyżej wskazanych usług, a przy tym jest to jego główna działalność i odbywa się ona na dużą skalę, wówczas ma on obowiązek powołania Inspektora Ochrony Danych.

Inspektor Ochrony Danych a przetwarzanie szczególnych kategorii danych

Ostatnią sytuacją, w której istnieje konieczność powołania IOD, jest przetwarzanie szczególnych kategorii danych osobowych (określanych również jako dane wrażliwe lub dane sensytywne). Należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Podobnie, jak w przypadku prowadzenia działalności polegającej na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, w razie przetwarzania danych wrażliwych, obowiązek powołania IOD powstaje wyłącznie wtedy, gdy spełnione są omówione wyżej warunki dużej skali oraz głównej działalności.

Podstawowym przykładem dla przypadku przetwarzania danych wrażliwych jest świadczenie usług zdrowotnych przez szpitale, które przetwarzają dane o stanie zdrowia (dane sensytywne) swoich pacjentów.

Obowiązki w razie braku podstaw do powołania Inspektora Ochrony Danych

Należy zauważyć, że nawet jeśli określony podmiot na pierwszy rzut oka nie spełnia żadnej z wyżej powołanych przesłanek i nie jest zobowiązany do powołania Inspektora Ochrony Danych, to i tak powinien udokumentować przeprowadzenie wewnętrznej procedury, która pozwoliła mu na ustalenie, że nie należy do żadnej grupy podmiotów, które muszą powołać IOD. Tego rodzaju konieczność nie wynika co prawda bezpośrednio z treści RODO, jednak ma istotne znaczenie z punktu widzenia zasady rozliczalności (administrator musi potrafić wykazać, że przestrzega zasady dotyczące przetwarzania danych osobowych).

Inspektor Ochrony Danych z mocy ustawy o ochronie danych osobowych

Trzeba także wskazać, że w niektórych przedsiębiorstwach Inspektor Ochrony Danych pojawi się bez żadnych działań ze strony Administratora Danych Osobowych. Wynika to z regulacji nowej polskiej ustawy o ochronie danych osobowych, zgodnie z którą osoba pełniąca w dniu 24 maja 2018 r. funkcję Administratora Bezpieczeństwa Informacji, stanie się Inspektorem Ochrony Danych i będzie pełnić swoją funkcję do dnia 1 września 2018 r., chyba że przed tym dniem Administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na inspektora ochrony danych. Ponadto, taka osoba będzie mogła być IOD także po dniu 1 września, pod warunkiem, że administrator zawiadomi Prezesa UOD o jej wyznaczeniu w sposób określony w ustawie. W związku z tym może dojść do sytuacji, gdzie w danym przedsiębiorstwie będzie działał Inspektor Ochrony Danych pomimo tego, że administrator nie będzie miał prawnego obowiązku jego wyznaczenia. Z punktu widzenia zarówno RODO jak i ustawy o ochronie danych, nie jest to oczywiście sytuacja niepożądana, a wręcz korzystna, bowiem może wpływać na polepszenie istniejącej ochrony danych. Gdyby jednak administrator uznał, że IOD w jego przedsiębiorstwie jest niepotrzebny, wówczas może go odwołać.

Jak więc widać, nie takie RODO straszne, jak je malują. Zgodnie z nowymi regulacjami, obowiązek powołania Inspektora Ochrony Danych będzie ciążył tylko na niektórych podmiotach, a dla pozostałych niepowołanie takiego podmiotu nie będzie niosło za sobą żadnych negatywnych konsekwencji.



Sprawdź również:



Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.