Wyznaczenie IOD w firmie

W poprzednim wpisie, z którym można zapoznać się tutaj, wskazałam, że przedsiębiorca dokonując oceny konieczności wyznaczenia IOD w firmie powinien w pierwszej kolejności zapoznać się z art. 37 ust. 1 RODO. W lit. b) oraz c) tego przepisu wyszczególnione zostały przesłanki, których spełnienie obliguje przedsiębiorcę do wyznaczenia IOD w jego firmie.

Do omówienia pozostała lit. c) wskazanego artykułu, aczkolwiek niektóre przesłanki w niej wskazane będą analogiczne do tych określonych w lit. b). Mianowicie, chodzi o takie przesłanki jak pojęcie głównej działalności administratora polegającej na przetwarzaniu danych oraz pojęcie dużej skali.

Dla przypomnienia, art. 37 ust. 1 lit. c) RODO stanowi o tym, że administrator danych lub procesor wyznaczają IOD, zawsze gdy ich główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych kategorii lub danych dotyczących wyroków skazujących i naruszeń prawa.

Dane szczególnych kategorii

Czym są dane szczególnych kategorii reguluje art. 9 ust. 1 RODO, w którym wymienione zostały takie dane jak:

  • Pochodzenie rasowe lub etniczne,
  • Poglądy polityczne,
  • Przekonania religijne lub światopoglądowe,
  • Przynależność do związków zawodowych,
  • Dane: genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dotyczące zdrowia, seksualności lub orientacji seksualnej.

Przykładem podmiotu, który w związku ze swoją działalnością przetwarza dane szczególnych kategorii na dużą skalę są szpitale.

Dane dotyczące wyroków skazujących i naruszeń prawa

Zarówno art. 10 jak i art. 37 ust. 1 lit. c) RODO stanowią o przetwarzaniu danych dotyczących wyroków skazujących oraz (i) naruszeń prawa. Zastosowanie w art. 10 łącznika „oraz”, natomiast w art. 37 ust. 1 lit. c) łącznika „i” mogłoby sugerować, że obie wskazane przesłanki powinny być stosowane jednocześnie (zarówno przetwarzanie danych dotyczących wyroków skazujących jak i naruszeń prawa).

Jednakże według Wytycznych dotyczących Inspektorów Danych Osobowych Grupy Roboczej Art. 29 ds. ochrony danych, zastosowanie w przypadku tych artykułów powinien mieć łącznik „lub”. W związku z tym przedsiębiorca określając skalę przetwarzania danych musi osobno wziąć pod uwagę dane dotyczące wyroków skazujących oraz dane dotyczące naruszeń prawa.

Przykładem podmiotu, który w związku ze swoją działalnością przetwarza dane dotyczące wyroków skazujących lub naruszeń prawa na dużą skalę są duże kancelarie prawne.

Tak więc, przedsiębiorca, który w ramach swojej głównej działalności na dużą skalę przetwarza dane szczególnych kategorii lub dane dotyczące wyroków skazujących lub też dane dotyczące naruszeń prawa powinien wyznaczyć w swojej firmie IOD.

Oliwia Radlak
Podobne artykuły