LexDigital

Dla kogo powołanie IOD to obowiązek?

Zgodnie z RODO obecnych Administratorów Bezpieczeństwa Informacji (ABI) zastąpić mają Inspektorzy Ochrony Danych (IOD). Podmioty te będą znacząco różniły się od ABIch. W niektórych wypadkach Administrator Danych Osobowych (ADO) będzie miał obowiązek ich powołania.

Dla kogo powołanie IOD to obowiązek?

Obowiązek powołania Inspektora Ochrony Danych

W RODO zostały wyraźnie wskazane trzy przypadki, kiedy Administrator Danych Osobowych i podmiot przetwarzający dane są zobowiązani do powołania Inspektora Ochrony Danych:

  1. gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości (przesłanka ta nie dotyczy więc zwykłych przedsiębiorców),
  2. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (dotyczy to więc przykładowo profilowania i oceny osób w ramach szacowania ryzyka, w celu przyznania zniżek składek ubezpieczeniowych),
  3. gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (np. danych ujawniających poglądy polityczne czy też danych dotyczących zdrowia przetwarzanych przez szpitale), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
    IOD, inspektor danych osobowych, bezpieczeństwo danych

Inspektor Ochrony Danych w podmiotach publicznych

Pierwszy przypadek, w którym na administratorze spoczywa obowiązek powołania IOD dotyczy administratorów będących organem lub podmiotem publicznym. W RODO nie znajdziemy definicji pojęcia „organu lub podmiotu publicznego”, dlatego też szczegółowych informacji w tym zakresie można szukać w wytycznych Grupy Roboczej art. 29 (podmiotu doradczego). Zgodnie z nimi, wskazane pojęcie obejmuje przede wszystkim organy władzy krajowej, organy regionalne i lokalne. Co jednak z podmiotami, które świadczą usługi użyteczności publicznej, takie jak przykładowo transport publiczny, dostarczanie wody czy usługi pocztowe? Otóż wskazuje się, że z uwagi na podobieństwo tych jednostek do instytucji publicznych, zalecane jest również w ich przypadku powołanie IOD, w ramach dobrych praktyk.

Inspektor Ochrony Danych a główna działalność przedsiębiorstwa i duża skala przetwarzania

W pozostałych dwóch przypadkach, kiedy to powołanie IOD jest obowiązkowe, zasadnicze znaczenie ma zdefiniowanie dwóch pojęć, tj. „główna działalność” i „duża skala”. W odniesieniu do pierwszego z nich, zgodnie z motywami RODO, w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego kluczowe, a nie poboczne czynności. Przykładowo, dla szpitali główną działalnością jest ochrona zdrowia pacjentów. Żeby jednak móc wykonywać to zadanie, szpital musi przetwarzać dane osobowe pacjentów, np. karty historii choroby.

Jeżeli chodzi o drugą przesłankę, tj. „dużą skalę”, to RODO nie określa wprost żadnych liczb w tym zakresie, w szczególności ilości osób, których danych ma dotyczyć przetwarzanie, a która uzasadniałaby jednoznaczne zaliczenie do „dużej” lub małej skali. Grupa Robocza art.  29 wskazała jednak kilka przykładów, kiedy można mówić o przetwarzaniu na dużą skalę: śledzenie podróżnych korzystających z „kart miejskich”, czy też przetwarzanie danych przez banki, zakłady ubezpieczeń, dostawców usług telefonicznych lub internetowych.

Inspektor Ochrony Danych w sytuacji regularnego i systematyczne monitorowania osób

Obok podmiotów publicznych, obowiązek powołania Inspektora Ochrony Danych spoczywa na administratorze, którego działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą. Na pierwszy rzut oka wydawać by się mogło, że przesłanka ta dotyczy śledzenia internautów, jednak należy ją rozumieć znacznie szerzej. W wytycznych Grupy Roboczej art. 29 wskazano następujące przykłady takiej działalności:

  • obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
  • śledzenie lokalizacji (na przykład przez aplikacje mobilne),
  • programy lojalnościowe czy reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, itd.

W związku z tym, jeżeli administrator świadczy co najmniej jedną z wyżej wskazanych usług, a przy tym jest to jego główna działalność i odbywa się ona na dużą skalę, wówczas ma on obowiązek powołania Inspektora Ochrony Danych.

Inspektor Ochrony Danych a przetwarzanie szczególnych kategorii danych

Ostatnią sytuacją, w której istnieje konieczność powołania IOD, jest przetwarzanie szczególnych kategorii danych osobowych (określanych również jako dane wrażliwe lub dane sensytywne). Należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Podobnie, jak w przypadku prowadzenia działalności polegającej na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, w razie przetwarzania danych wrażliwych, obowiązek powołania IOD powstaje wyłącznie wtedy, gdy spełnione są omówione wyżej warunki dużej skali oraz głównej działalności.

Podstawowym przykładem dla przypadku przetwarzania danych wrażliwych jest świadczenie usług zdrowotnych przez szpitale, które przetwarzają dane o stanie zdrowia (dane sensytywne) swoich pacjentów.

Obowiązki w razie braku podstaw do powołania Inspektora Ochrony Danych

Należy zauważyć, że nawet jeśli określony podmiot na pierwszy rzut oka nie spełnia żadnej z wyżej powołanych przesłanek i nie jest zobowiązany do powołania Inspektora Ochrony Danych, to i tak powinien udokumentować przeprowadzenie wewnętrznej procedury, która pozwoliła mu na ustalenie, że nie należy do żadnej grupy podmiotów, które muszą powołać IOD. Tego rodzaju konieczność nie wynika co prawda bezpośrednio z treści RODO, jednak ma istotne znaczenie z punktu widzenia zasady rozliczalności (administrator musi potrafić wykazać, że przestrzega zasady dotyczące przetwarzania danych osobowych).

Inspektor Ochrony Danych z mocy ustawy o ochronie danych osobowych

Trzeba także wskazać, że w niektórych przedsiębiorstwach Inspektor Ochrony Danych pojawi się bez żadnych działań ze strony Administratora Danych Osobowych. Wynika to z regulacji nowej polskiej ustawy o ochronie danych osobowych, zgodnie z którą osoba pełniąca w dniu 24 maja 2018 r. funkcję Administratora Bezpieczeństwa Informacji, stanie się Inspektorem Ochrony Danych i będzie pełnić swoją funkcję do dnia 1 września 2018 r., chyba że przed tym dniem Administrator zawiadomi Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu innej osoby na inspektora ochrony danych. Ponadto, taka osoba będzie mogła być IOD także po dniu 1 września, pod warunkiem, że administrator zawiadomi Prezesa UOD o jej wyznaczeniu w sposób określony w ustawie. W związku z tym może dojść do sytuacji, gdzie w danym przedsiębiorstwie będzie działał Inspektor Ochrony Danych pomimo tego, że administrator nie będzie miał prawnego obowiązku jego wyznaczenia. Z punktu widzenia zarówno RODO jak i ustawy o ochronie danych, nie jest to oczywiście sytuacja niepożądana, a wręcz korzystna, bowiem może wpływać na polepszenie istniejącej ochrony danych. Gdyby jednak administrator uznał, że IOD w jego przedsiębiorstwie jest niepotrzebny, wówczas może go odwołać.

Jak więc widać, nie takie RODO straszne, jak je malują. Zgodnie z nowymi regulacjami, obowiązek powołania Inspektora Ochrony Danych będzie ciążył tylko na niektórych podmiotach, a dla pozostałych niepowołanie takiego podmiotu nie będzie niosło za sobą żadnych negatywnych konsekwencji.


Potrzebujesz wsparcia? Sprawdź naszą ofertę przejęcia funkcji IOD w Twojej organizacji


Sprawdź również:



Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk