8 września 2020

Rola i kompetencje Inspektora Ochrony Danych w świetle RODO

Kiedy powołanie IOD jest obligatoryjne ?

Inspektor Ochrony Danych, zgodnie z art.37 ust.1 RODO powinien być powołany przez administratora lub podmiot przetwarzający, zawsze w tych przypadkach, gdy:

  1. przetwarzania danych dokonują organ lub podmioty publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Mając na uwadze przedsiębiorców, rozważymy powyższy punkt b) oraz c), ponieważ one bezpośrednio dotyczą działalności biznesowej. W świetle powyższych przesłanek, podejmując decyzję, czy powołanie IOD jest konieczne, administrator lub podmiot przetwarzający powinny rozważyć, czy:

1) główna działalność podmiotu polega na przetwarzaniu danych;

Główna działalność oznacza te czynności, które polegają na bezpośredniej realizacji celów biznesowych i gospodarczych danej organizacji. Przykładowo zatrudnianie pracowników nie jest zazwyczaj celem biznesowym przedsiębiorcy, tylko niezbędnym działaniem związanym z realizacją działalności gospodarczej. W związku z tym niezależnie od ilości pracowników, samo przetwarzanie ich danych osobowych związanych z zatrudnieniem nie będzie wywoływało obowiązku powołania IOD. Jeśli jednak główna działalność podmiotu jest nieodłącznie związana z przetwarzaniem danych osobowych (np. w wypadku świadczenia opieki zdrowotnej na rzecz pacjentów lub agencji pośredniczącej w zatrudnianiu pracowników), to wówczas powyższa przesłanka będzie spełniona.

2) przetwarzanie danych dokonywane jest na dużą skalę;

Brak jest obecnie wytycznych wskazujących konkretne liczby, które mogłyby jednoznacznie określać, kiedy następuje przetwarzanie danych na dużą skalę, dlatego też każdą sytuację należy rozpatrywać indywidualnie i każdy przedsiębiorca samodzielnie powinien takiej oceny dokonać.

3) operacje przetwarzania danych wymagają regularnego i systematycznego monitorowania osób, których te dane dotyczą;

Monitorowanie osób występować będzie w szczególności w środowisku internetowym (aplikacje mobilne, usługi lokalizacyjne, rozwiązania typu smart), ale nie jest to pojęcie ograniczone wyłącznie do tej sfery. Przesłanka ta będzie spełniona wszędzie tam, gdzie w sposób zorganizowany i stały obserwowane jest zachowanie osób fizycznych, co ma także miejsce w przypadku m.in.: usług bankowych, telekomunikacyjnych, leczniczych, ubezpieczeniowych, programów lojalnościowych itd.

albo

4) przetwarzanie danych następuje na dużą skalę i dotyczy danych wrażliwych.

Dane wrażliwe to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dan biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej, a także dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

W razie łącznego wystąpienia przesłanek wskazanych w pkt. 1 i 2, a także przesłanki objętej w pkt. 3 albo 4, przedsiębiorca lub inny podmiot niebędący organem administracji będzie miał obowiązek powołania IOD.

W pozostałych przypadkach wyznaczenie IOD będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek powołania IOD zaleca się administratorom oraz podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.

Podkreślić także należy, że w obecnym stanie prawnym bardzo często rekomenduje się wyznaczenie IOD nawet w tych przypadkach, gdy nie wynika to z przepisów prawa. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów.

Jeden IOD dla kilku podmiotów – czy to możliwe ?

RODO zawiera przepisy dotyczące możliwości  powołania jednego IOD dla kilku podmiotów.

W przypadku przedsiębiorców – grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile będzie można łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej (art. 37 ust.2 RODO). Warto w tym miejscu zaznaczyć, że IOD pełni funkcję punktu kontaktowego dla organu nadzorczego oraz osób, których dane są przetwarzane. W związku z powyższym, każdy z wymienionych podmiotów powinien posiadać możliwość bezpośredniego kontaktu z powołanym IOD. Nie oznacza to, że IOD ma być dostępny osobiście, ale że można z nim bez problemu nawiązać kontakt np. przez telefon, e-mail lub inny bezpieczny środek komunikacji.

Jakie są obowiązki IOD ?

Zadania IOD określone w RODO zostały sformułowane w sposób ogólny, bez wskazania trybu oraz terminów ich realizacji. Jest to istotna różnica w stosunku do tego, co przewidywały przepisy obowiązujące do 25 maja 2018 roku.

Taki sposób ujęcia obowiązków IOD jest wyrazem nowego podejścia do ochrony danych osobowych opartego na analizie ryzyka i zasadzie rozliczalności opisanej w art. 5 ust.2 RODO.

W świetle nowych przepisów IOD zobowiązany jest do:

  1. informowania administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowania przestrzegania RODO, innych przepisów Unii Europejskiej lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielania na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO.

Inspektor Ochrony Danych odpowiedzialny jest za ocenę ryzyka naruszenia praw osób, których dane są przetwarzane. W analizie ryzyka wskazuje się charakter danych, zakres, cel przetwarzania oraz kontekst. Po przeprowadzeniu oceny ryzyka inspektor powinien dokonać zaleceń administratorowi w zakresie ochrony danych, jak również monitorować wykonanie zaleceń przez administratora.

  1. współpraca z organem nadzorczym;
  2. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami  (art. 36 RODO) oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
  3. pełnienie roli punktu kontaktowego dla osób, których dane dotyczą we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO;
  4. prowadzenie rejestru czynności lub rejestru kategorii czynności.

Jaka forma współpracy z IOD jest możliwa ?

Zgodnie z treścią art. 37 ust.6 RODO IOD może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Warto zaznaczyć, że funkcja IOD może być również pełniona umowy o świadczenie usług nie tylko z osobą fizyczną, ale również z innym podmiotem. W pracy zespołowej można bowiem połączyć indywidualne atuty i umiejętności poszczególnych osób tak, aby zapewnić wydajniejszą obsługę administratora danych. W takim przypadku konieczne jest jednak, aby każdy członek podmiotu sprawującego funkcję IOD spełniał wszystkie istotne wymogi opisane w Sekcji 4 RODO oraz miał zapewnioną wynikającą z tych przepisów ochronę. W celu zapewnienia przejrzystości prawnej i dobrej organizacji zalecany jest ponadto wyraźny podział zadań oraz wyznaczenie jednej wiodącej osoby kontaktowej i odpowiedzialnej za każdego klienta. Kwestie te powinny być jasno określone w umowie o świadczenie usług.

IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO.  Powyższe wskazuje, że aby móc w sposób należyty wykonywać swoje obowiązki, IOD powinien wykazywać się wiedzą zarówno teoretyczną, jak i praktyczną dotyczącą RODO oraz przepisów krajowych regulujących przetwarzanie danych. Zalecana jest również wiedza biznesowa dotycząca działalności administratora. IOD powinien również posiadać odpowiednią wiedzę na temat procesów przetwarzania danych systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych. Wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki.

Gwarancja niezależności IOD – w jaki sposób ją realizować ?

Podobnie jak w obecnym stanie prawnym, również na gruncie RODO, bez względu na to, czy IOD jest pracownikiem przedsiębiorcy czy też wykonuje swoje obowiązki w ramach świadczonych usług, musi je wykonywać w sposób niezależny. W celu zapewnienia niezależności IOD administrator lub podmiot przetwarzający powinni wprowadzić wewnętrzne regulacje gwarantujące IOD niezależność w wykonywaniu jego obowiązków i zadań. Umiejscowienie IOD w strukturze organizacyjnej danego podmiotu powinno być czytelne dla całego personelu.

W celu zapewnienia niezależności IOD, RODO wprowadza kilka szczegółowych rozwiązań, które pozwalają na osiągnięcie ww. celu:

  1. bezpośrednia podległość IOD najwyższemu kierownictwu,
  2. wspieranie IOD w wykonywaniu jego zadań,
  3. zapewnienie udziału IOD we wszystkich zagadnieniach związanych z ochroną danych osobowych,
  4. zakaz wydawania instrukcji IOD co do wykonywania przez niego zadań,
  5. unikanie konfliktu interesów IOD,
  6. zakaz odwoływania i karania IOD,
  7. obowiązek zachowania tajemnicy lub poufności co do wykonywania zadań prze IOD.

W świetle powyższego administrator i podmiot przetwarzający mają obowiązek:

  1. zapewnić, aby IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
  2. wspierać IOD w wypełnianiu przez niego zadań, o których mowa w art. 39 RODO poprzez zapewnienie mu niezbędnych zasobów do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego fachowej wiedzy,
  3. zapewnić, aby IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań – IOD nie może być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. IOD podlega najwyższemu kierownictwu przedsiębiorcy,
  4. zapewnić, aby inne ewentualne obowiązki wykonywane przez IOD nie powodowały konfliktu z wykonywaniem zadań na stanowisku IOD.

Czy powołanie IOD należy zgłaszać ?

Zgodnie z treścią art. 37 ust.7 RODO administrator lub podmiot przetwarzający publikują dane kontaktowe IOD i zawiadamiają o nich organ nadzorczy.

Obowiązek powyższy rozszerzony został w art. 10 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (DZ. U. z dn. 24.05.2018, poz. 100). Zgodnie z jego treścią podmiot, który wyznaczył IOD, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

W przypadku wyznaczenie jednego inspektora przez organy lub podmioty publiczne lub przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa powyżej.

Ponadto podmiot, który wyznaczył IOD, udostępnia jego dane niezwłocznie po jego wyznaczeniu na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej w sposób ogólnie dostępny w miejscu prowadzenia działalności (art.11 ww. ustawy).