Czy Twoja firma potrzebuje Inspektora Ochrony Danych?
Temat związany z wyznaczeniem Inspektora Ochrony Danych (tak zwanego IOD) nie jest łatwy i do tego bardzo obszerny. Podzieliłam go więc na dwie części. Poniżej pierwsza z nich.
Nie każdy przedsiębiorca musi wyznaczyć w swojej firmie IOD. Pierwszym krokiem przedsiębiorcy w celu ustalenia czy ciąży na nim obowiązek wyznaczenia IOD jest sięgnięcie do art. 37 ust. 1 RODO, który stanowi, że Administrator i podmiot przetwarzający wyznaczają IOD, zawsze gdy:
a) Ta litera nie dotyczy podmiotów prywatnych,
b) Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Niestety po przeczytaniu tego artykułu wciąż niełatwo jest ustalić czy wyznaczenie IOD w danej firmie jest obowiązkowe. Konieczna jest więc jego analiza. Zaczniemy od lit. b), poprzez wyszczególnienie trzech przesłanek, których łączne wystąpienie będzie obligowało przedsiębiorcę do wyznaczenia w jego firmie IOD. Pomocna będzie w tym preambuła RODO oraz Wytyczne dotyczące inspektorów ochrony danych Grupy Roboczej Art. 29 ds. ochrony danych.
Główna działalność administratora polegająca na operacjach przetwarzania danych
Zgodnie z motywem 97 RODO przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Możemy wyróżnić dwa rodzaje takiego przetwarzania:
- Gdy przetwarzanie jest główną działalnością administratora np. elektroniczny pomiar czasu na masowych imprezach sportowych,
- Gdy przetwarzanie jest nierozerwalnie związane z główną działalnością administratora np. świadczenie usług medycznych nie byłoby możliwe bez przetwarzania danych medycznych.
Prowadzenie listy płac czy też korzystanie ze standardowej obsługi IT uznawane jest za czynności poboczne przedsiębiorcy, a nie jego działalność główną, w związku z czym w takiej sytuacji powoływanie IOD nie jest konieczne.
A teraz przerwa na kawę…
… i wracamy do tematu.
Duża skala przetwarzania
Również w przypadku tego pojęcia definicję znajdziemy w preambule RODO (motyw 91 RODO). Definicja ta obejmuje przetwarzanie:
- znacznej ilości danych na szczeblu regionalnym, krajowym lub międzynarodowym,
- mogące wpłynąć na dużą liczbę osób, których dane dotyczą,
- mogące powodować duże ryzyko:
- gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia oraz
- naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają wykonywanie przysługujących im praw.
Grupa robocza art. 29 ds. ochrony danych zaleca dodatkowe uwzględnienie następujących czynników przy określaniu „dużej skali”:
- Liczby osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
- Zakresu przetwarzanych danych osobowych,
- Okresu przetwarzania danych oraz
- Zakresu geograficznego przetwarzania danych osobowych.
No dobrze, teoria teorią, ale wciąż nie znamy dokładnej cyfry. W trakcie prac legislacyjnych nad RODO zaproponowano, aby było to przetwarzanie danych dotyczące 5000 osób średniorocznie. Jednakże ostatecznie zamiast tego zwrotu użyto pojęcia „na dużą skalę”. Biorąc jednak pod uwagę wykładnię autentyczną wydaje się, że pomocniczo można korzystać ze wskazanej liczby.
Przykład przetwarzania na dużą skalę: Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności.
Przetwarzaniem danych na dużą skalę nie będzie natomiast przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza.
Regularne i systematyczne monitorowanie
W przypadku tej przesłanki mamy do czynienia z trzema słowami, które wymagają odrębnego wyjaśnienia.
Monitorowanie według RODO dotyczy przede wszystkim form śledzenia i profilowania w sieci, ale nie tylko. Mówiąc o monitoringu należy pamiętać również o m. in. monitoringu wizyjnym, monitorowaniu danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych czy też urządzeniach skomunikowanych np. inteligentnych licznikach.
Regularne monitorowanie musi być stałe albo występujące w określonych odstępach czasu przez ustalony okres.
Przez pojęcie systematycznego monitorowania należy rozumieć monitorowanie występujące zgodnie z określonym systemem, zaaranżowane, zorganizowane lub metodyczne, odbywające się w ramach generalnego planu zbierania danych, przeprowadzone w ramach określonej strategii.
W ten sposób przebrnęliśmy przez przesłanki z art. 37 ust. 1 lit. b) RODO. Przedsiębiorca, który spełnia wszystkie z opisanych przesłanek musi wyznaczyć w swojej firmie IOD.
Zgodnie z zapowiedzią ciąg dalszy nastąpi.