LexDigital

Dla kogo powołanie IOD to obowiązek?

Zgodnie z RODO obecnych Administratorów Bezpieczeństwa Informacji (ABI) zastąpić mają Inspektorzy Ochrony Danych (IOD). Podmioty te będą znacząco różniły się od ABIch. W niektórych wypadkach Administrator Danych Osobowych (ADO) będzie miał obowiązek ich powołania.

Dla kogo powołanie IOD to obowiązek?

Obowiązek powołania Inspektora Ochrony Danych

W RODO zostały wyraźnie wskazane trzy przypadki, kiedy Administrator Danych Osobowych i podmiot przetwarzający dane są zobowiązani do powołania Inspektora Ochrony Danych:

  1. gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (przesłanka ta nie dotyczy więc zwykłych przedsiębiorców),
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (dotyczy to więc przykładowo profilowania i oceny osób w ramach szacowania ryzyka, w celu przyznania zniżek składek ubezpieczeniowych),
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne czy też danych dotyczących zdrowia przetwarzanych przez szpitale), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Inspektor Ochrony Danych w podmiotach publicznych

Pierwszy przypadek, w którym na administratorze spoczywa obowiązek powołania IOD dotyczy administratorów będących organem lub podmiotem publicznym. W RODO nie znajdziemy definicji pojęcia „organu lub podmiotu publicznego”, dlatego też szczegółowych informacji w tym zakresie można szukać w wytycznych Grupy Roboczej art. 29 (podmiotu doradczego). Zgodnie z nimi, wskazane pojęcie obejmuje przede wszystkim organy władzy krajowej, organy regionalne i lokalne. Co jednak z podmiotami, które świadczą usługi użyteczności publicznej, takie jak przykładowo transport publiczny, dostarczanie wody czy usługi pocztowe? Otóż wskazuje się, że z uwagi na podobieństwo tych jednostek do instytucji publicznych, zalecane jest również w ich przypadku powołanie IOD, w ramach dobrych praktyk.

Inspektor Ochrony Danych a główna działalność przedsiębiorstwa i duża skala przetwarzania

W pozostałych dwóch przypadkach, kiedy to powołanie IOD jest obowiązkowe, zasadnicze znaczenie ma zdefiniowanie dwóch pojęć, tj. „główna działalność” i „duża skala”. W odniesieniu do pierwszego z nich, zgodnie z motywami RODO, w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego kluczowe, a nie poboczne czynności. Przykładowo, dla szpitali główną działalnością jest ochrona zdrowia pacjentów. Żeby jednak móc wykonywać to zadanie, szpital musi przetwarzać dane osobowe pacjentów, np. karty historii choroby.

Jeżeli chodzi o drugą przesłankę, tj. „dużą skalę”, to RODO nie określa wprost żadnych liczb w tym zakresie, w szczególności ilości osób, których danych ma dotyczyć przetwarzanie, a która uzasadniałaby jednoznaczne zaliczenie do „dużej” lub małej skali. Grupa Robocza art.  29 wskazała jednak kilka przykładów, kiedy można mówić o przetwarzaniu na dużą skalę: śledzenie podróżnych korzystających z „kart miejskich”, czy też przetwarzanie danych przez banki, zakłady ubezpieczeń, dostawców usług telefonicznych lub internetowych.

Inspektor Ochrony Danych w sytuacji regularnego i systematyczne monitorowania osób

Obok podmiotów publicznych, obowiązek powołania Inspektora Ochrony Danych spoczywa na administratorze, którego działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą. Na pierwszy rzut oka wydawać by się mogło, że przesłanka ta dotyczy śledzenia internautów, jednak należy ją rozumieć znacznie szerzej. W wytycznych Grupy Roboczej art. 29 wskazano następujące przykłady takiej działalności:

  • obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
  • śledzenie lokalizacji (na przykład przez aplikacje mobilne),
  • programy lojalnościowe czy reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, itd.

W związku z tym, jeżeli administrator świadczy co najmniej jedną z wyżej wskazanych usług, a przy tym jest to jego główna działalność i odbywa się ona na dużą skalę, wówczas ma on obowiązek powołania Inspektora Ochrony Danych.

Inspektor Ochrony Danych a przetwarzanie szczególnych kategorii danych

Ostatnią sytuacją, w której istnieje konieczność powołania IOD, jest przetwarzanie szczególnych kategorii danych osobowych (określanych również jako dane wrażliwe lub dane sensytywne). Należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Podobnie, jak w przypadku prowadzenia działalności polegającej na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, w razie przetwarzania danych wrażliwych, obowiązek powołania IOD powstaje wyłącznie wtedy, gdy spełnione są omówione wyżej warunki dużej skali oraz głównej działalności.

Podstawowym przykładem dla przypadku przetwarzania danych wrażliwych jest świadczenie usług zdrowotnych przez szpitale, które przetwarzają dane o stanie zdrowia (dane sensytywne) swoich pacjentów.

Obowiązki w razie braku podstaw do powołania Inspektora Ochrony Danych

Należy zauważyć, że nawet jeśli określony podmiot na pierwszy rzut oka nie spełnia żadnej z wyżej powołanych przesłanek i nie jest zobowiązany do powołania Inspektora Ochrony Danych, to i tak powinien udokumentować przeprowadzenie wewnętrznej procedury, która pozwoliła mu na ustalenie, że nie należy do żadnej grupy podmiotów, które muszą powołać IOD. Tego rodzaju konieczność nie wynika co prawda bezpośrednio z treści RODO, jednak ma istotne znaczenie z punktu widzenia zasady rozliczalności (administrator musi potrafić wykazać, że przestrzega zasady dotyczące przetwarzania danych osobowych).

Inspektor Ochrony Danych z mocy ustawy o ochronie danych osobowych

Trzeba także wskazać, że w niektórych przedsiębiorstwach Inspektor Ochrony Danych pojawi się bez żadnych działań ze strony Administratora Danych Osobowych. Wynika to z regulacji nowej polskiej ustawy o ochronie danych osobowych, zgodnie z którą osoba pełniąca w dniu 24 maja 2018 r. funkcję Administratora Bezpieczeństwa Informacji, stanie się Inspektorem Ochrony Danych i będzie pełnić swoją funkcję do dnia 1 września 2018 r., chyba że przed tym dniem Administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na inspektora ochrony danych. Ponadto, taka osoba będzie mogła być IOD także po dniu 1 września, pod warunkiem, że administrator zawiadomi Prezesa UOD o jej wyznaczeniu w sposób określony w ustawie. W związku z tym może dojść do sytuacji, gdzie w danym przedsiębiorstwie będzie działał Inspektor Ochrony Danych pomimo tego, że administrator nie będzie miał prawnego obowiązku jego wyznaczenia. Z punktu widzenia zarówno RODO jak i ustawy o ochronie danych, nie jest to oczywiście sytuacja niepożądana, a wręcz korzystna, bowiem może wpływać na polepszenie istniejącej ochrony danych. Gdyby jednak administrator uznał, że IOD w jego przedsiębiorstwie jest niepotrzebny, wówczas może go odwołać.

Jak więc widać, nie takie RODO straszne, jak je malują. Zgodnie z nowymi regulacjami, obowiązek powołania Inspektora Ochrony Danych będzie ciążył tylko na niektórych podmiotach, a dla pozostałych niepowołanie takiego podmiotu nie będzie niosło za sobą żadnych negatywnych konsekwencji.



Sprawdź również:



Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.