Blog

13 06/2018
Kategoria:

Inspektor Ochrony Danych – kiedy jest konieczny? Jak powołać IOD?

Jak się okazuje, temat Inspektora Ochrony Danych Osobowych nie został w pełni wyczerpany. Bardzo często otrzymujemy od naszych Klientów, ale również czytelników bloga, zapytania odnośnie sprawowania tej funkcji. Pytania takie jak „czy inspektor ochrony danych osobowych jest konieczny w szkole?” czy „prowadzę agencję reklamową, czy inspektor ochrony danych osobowych zgodnie z RODO jest konieczny?” albo “jak powołać IOD/gdzie zgłosić IOD?” spływają do nas niemal codziennie. Spróbujmy raz na zawsze rozprawić się z tematem i wyróżnić konkretne sytuacje, w których IOD będzie konieczny, a w których opcjonalny, a na końcu poznać sposób, by zgłosić powołanie IOD-a do Urzędu Ochrony Danych Osobowych.

Art. 37 (RODO) kluczem do zrozumienia funkcji Inspektora Ochrony Danych

Chcąc wyróżnić sytuacje, w których organizacja MUSI wyznaczyć Inspektora Ochrony Danych Osobowych, należy sięgnąć do art. 37 RODO. Według Rozporządzenia, w trzech sytuacjach IOD będzie niezbędny. Sytuacje te mają miejsce gdy (cyt.):

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Przyjrzyjmy się bliżej powyższym zapisom.

Czytaj też: IOD czyli nowy ABI – co się zmieni wraz z wejściem RODO?

 

inspektor-ochrony-danych-rodo

 

A. Przetwarzania dokonuje organ lub podmiot publiczny

W związku z brakiem w RODO definicji zapisu “organ lub podmiot publiczny”, kluczem do zrozumienia problematycznego sformułowania będą Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych.

Według Grupy Roboczej art.29 będą to organy władzy oraz inne podmioty prawa publicznego i osoby fizyczne oraz prawne, które realizują zadania w interesie publicznym lub sprawują władzę publiczną.

B. Główna działalność dotyczy regularnego i systematycznego monitorowania osób na dużą skalę

Przede wszystkim musimy pamiętać, że spełnione muszą być wszystkie założenia wymienione w tym punkcie.

#Główna działalność wg RODO

Wyjaśniając nie do końca konkretne pojęcia takie jak „główna działalność”, „regularne i systematyczne monitorowania” czy “dużą skalę”, ponownie skorzystamy z Wytycznych Grupy Roboczej art. 29 dotyczących inspektorów ochrony danych, a także wskazówek interpretacyjnych zawartych w motywach RODO.

Główna działalność” według 97 motywu RODO ma miejsce wówczas, gdy przetwarzanie danych osobowych jest główną działalnością administratora tzn. będą to zasadnicze, a nie poboczne czynności. Grupa Robocza art. 29 konkretyzuje, że należy spojrzeć na cele administratora, ale również działalność związaną z główną działalnością – jeśli dotyczy przetwarzania danych osobowych, IOD będzie konieczny. Doskonałym przykładem będą tu szpitale – mimo, że ich głównym celem jest opieka medyczna, to bez przetwarzania danych osobowych (dokumentacja medyczna), niemożliwa byłaby realizacja głównego celu.

 

przetwarzanie-danych-rodo

 

#Duża skala wg RODO

Duża skala” – tutaj pomocny będzie motyw 91 RODO. Czytamy, że ocena skutków dla ochrony danych winna „mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą”. Liczyć się będą zatem proporcje np. wielkość terytorium, gdzie im większe, tym większa liczba danych będzie „dużą skalą”. Niestety, nawet Grupa Robocza art. 29 nie prezentuje konkretnych wartości, które możemy nazwać „dużą skalą”. Wskazuje natomiast pomocne kryteria, na które należy zwrócić uwagę chcąc zdefiniować „dużą skalę” – są to:

  • liczba osób,
  • zakres,
  • okres,
  • zakres geograficzny.

W związku z powyższym, „dużą skalą” będzie:

  • przetwarzanie danych pacjentów przez szpital,
  • śledzenie za pośrednictwem kart miejskich,
  • przetwarzanie danych przez banki,
  • przetwarzanie danych do celów reklamy behawioralnej.

Dużą skalą” NIE jest przetwarzanie danych:

  • pacjentów przez pojedynczego lekarza,
  • dotyczących wyroków skazujących,
  • dotyczących naruszenie prawa przez adwokata.

#Systematyczne i regularne monitorowanie osób wg RODO

Próbując zrozumieć „systematyczne i regularne monitorowanie osób” należy sięgnąć do motywu 24 RODO. Czytamy, że „czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw”.

Zobaczmy również, co na ten temat mówi Grupa Robocza art. 29. „Systematycznym i regularnym monitorowaniem osób” będzie śledzenie i profilowanie w sieci na potrzeby reklam behawioralnych. Ponadto, wg. Grupy Roboczej art. 29, „regularne” to:

  • stałe lub występujące w określonych odstępach czasu przez konkretny okres,
  • cykliczne lub powtarzające się,
  • mające miejsce stale lub okresowo.

Zaś „systematyczne”:

  • zgodnie z określonym systemem,
  • zaaranżowane, zorganizowane, metodyczne,
  • występujące w ramach planu zbierania danych,
  • występujące w ramach strategii.

Przykłady „Systematycznego i regularnego monitorowania osób”:

  • obsługa sieci telekomunikacyjnej,
  • ocena ryzyka kredytowego,
  • składki ubezpieczeniowe,
  • śledzenie lokalizacji,
  • monitoring wizyjny,
  • reklama behawioralna,
  • inteligentne samochody/domy/liczniki etc.

 

monitorowanie-rodo

 

C. Główna działalność polega na przetwarzaniu na duża skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Pojęcia „główna działalność” i „duża skala” wyjaśniliśmy wyżej.

Szczególne kategorie danych” (art. 9 RODO) są to dane:

  • ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych
  • genetyczne,
  • biometryczne,
  • dotyczące zdrowia, seksualności lub orientacji seksualnej.

Jeśli zaś chodzi o „dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa” będą to:

  • informacje dotyczące skazań,
  • orzeczenia o ukaraniu,
  • orzeczenia wydane w postępowaniu sądowym i administracyjnym,
  • dane zawarte w KRK,
  • dane dotyczące mandatów (i innych środków karnych).

Powołanie Inspektora Ochrony Danych będzie konieczne jeszcze w jednej sytuacji

Jak możemy przeczytać w art. 37 ust. 4 RODO, poza powyższymi przypadkami, w których powołanie IOD będzie obowiązkowe, istnieje jeszcze jeden, w którym RODO będzie wymagać Inspektora. Otóż obowiązek powołania Inspektora Ochrony Danych może wprowadzić prawo UE lub państwa członkowskiego. Jeśli polski ustawodawca rozszerzy zapis RODO o inne przedmioty, ten będzie obowiązywał.

Czy warto powołać IOD w pozostałych przypadkach?

Należy pamiętać, że IOD to duża korzyść dla każdej firmy. Nawet jeśli RODO nie wymusza na nas, by powołać Inspektora, warto rozważyć, czy skorzystanie z jego usług nie byłoby dla nas korzystne. IOD mógłby znacznie pomóc w przestrzeganiu wytycznych RODO oraz pośredniczyć między organem ochrony danych osobowych oraz podmiotami w organizacji.

Ponadto, Grupa Robocza art. 29 sugeruje, by nawet w sytuacjach gdy nie zachodzi konieczność powołania IOD, udokumentować ten fakt, tzn. opisać procedurę przeprowadzoną w celu ustalenia, czy IOD jest konieczny, czy też nie.

czy-musisz-wyznaczyc-iod

Jak powołać IOD-a? 

Jeśli w wyniku analizy organizacji wyszło, że musisz – bądź chcesz – powołać Inspektora Ochrony Danych Osobowych, przed Tobą ostatni krok – sprawy formalne.

Po pierwsze, w ciągu dwóch tygodni od daty wyznaczenia IOD-a, musisz go zgłosić do Urzędu Ochrony Danych Osobowych. Pamiętaj, że zgłoszenie Inspektora nie powinno nastąpić później niż 31 lipca (jeśli dotychczas nie miałeś ABI) lub 1 września (jeśli dotychczasowy ABI został IOD).

Z jakiego wzoru dokumentu powinieneś skorzystać i jak to zrobić – krok po kroku – dowiesz się z TEJ STRONIE.

Również w sytuacji, gdy zmieniły się dane kontaktowe do zgłoszonego już Inspektora Ochrony Danych, Twoim obowiązkiem jest powiadomić o tym UODO. UWAGA – masz na to 14 dni licząc od dnia, w którym zmieniły się dane IOD-a. Jak to zrobić i z jakiego wzoru dokumentu skorzystać przeczytasz TUTAJ.

Jak odwołać/zmienić IOD-a?

Również w sytuacjach, gdy chcesz odwołać dotychczasowego Inspektora Ochrony Danych, bądź odwołać tego, którego powołałeś i zgłosić nowego, musisz wypełnić stosowne dokumenty.

W sytuacji, gdy chcesz powiadomić UODO o odwołaniu dotychczasowego Inspektora Ochrony Danych, musisz skorzystać z TEJ STRONY. Masz na to 14 dni od dnia odwołania IOD-a.

Natomiast jeśli chcesz odwołać zgłoszonego do UODO Inspektora Ochrony Danych bo znalazłeś nową osobę na to stanowisko, udaj się na TĘ STRONĘ.

W tej sytuacji również masz 14 dni na działanie licząc od dnia odwołania poprzedniego i wyznaczenia nowego Inspektora.

 

Co istotne, wszystkie zgłoszenia dotyczące powołania/odwołania/zmiany IOD-a są darmowe.

Kontynuując przeglądanie strony, wyrażasz zgodę na używanie przez nas plików cookies. więcej informacji

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close