KIRP
Język polski English language

Blog

IOD – funkcja obligatoryjna czy fakultatywna?

W określonych sytuacjach wskazanych w RODO, Administrator danych oraz Podmiot przetwarzający są zobowiązane wyznaczyć Inspektora Ochrony Danych. Niemniej jednak, RODO daje państwom członkowskim Unii Europejskiej wolną rękę w decydowaniu o możliwości rozszerzenia katalogu podmiotów, które mogłyby zostać objęte obowiązkiem powołania IOD. 

Zgodnie z art. 37 ust. 1 RODO „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 przetwarzanie szczególnych kategorii danych osobowych ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa”.

WAŻNE!!!

Obowiązek powołania Inspektora Ochrony Danych jest definiowany poprzez:

Zgodnie z art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych „Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora,(…), rozumie się:

1. jednostki sektora finansów publicznych;

2. instytuty badawcze;

3. Narodowy Bank Polski".

Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych wymienia podmioty stanowiące jednostki sektora finansów publicznych. Należą do nich m.in.:

1. organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały,

2. jednostki samorządu terytorialnego oraz ich związki,

3. jednostki budżetowe,

4. ZUS i zarządzane przez niego fundusze, Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,

5. NFZ,

6. samodzielne publiczne zakłady opieki zdrowotnej,

7. uczelnie publiczne,

8. PAN i  tworzone przez nią jednostki organizacyjne,

9. inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Jak należy rozumieć pojęcie „główna działalność”?

Zgodnie z Motywem 97 RODO „(…) W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”. Należy to rozumieć w ten sposób, iż główną działalnością jest działalność kluczowa z punktu widzenia celów Administratora danych, czy też Podmiotu przetwarzającego dane.

Z kolei Zespół Roboczy ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, będący niezależnym organem doradczym w sprawach ochrony danych i prywatności powołanym na mocy art. 29 dyrektywy 95/46/WE RODO (GR Art. 29) stoi na stanowisku, iż głównej działalności nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną Administratora danych, czy też Podmiotu przetwarzającego.

Przykład:

Firma świadcząca usługi ochrony mienia, prowadząca monitoring w muzeum. W tym przypadku działalnością główną firmy jest ochrona, przy czym związane z tym jest wprost przetwarzanie danych osobowych. Wobec powyższego taka firma również powinna mieć wyznaczonego Inspektora Ochrony Danych.

Jak należy rozumieć pojęcie „na dużą skalę”?

Przetwarzanie danych osobowych nie może być uznane za przetwarzanie „na dużą skalę”, o ile dotyczy danych osobowych pacjentów, klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika placówki zdrowia albo adwokata.

Należy podkreślić, iż RODO nie definiuje pojęcia „dużej skali”. Nie podaje żadnej liczby osób, których dane są przetwarzane, czy też konkretnej wartości. Z pomocą przychodzi GR Art. 29, która przy ocenie przetwarzania na dużą skalę sugeruje branie pod uwagę następujących czynników:

Przykłady:

Jak należy rozumieć pojęcie „regularne i systematyczne monitorowanie osób, których dane dotyczą na dużą skalę”?

Zaznaczenia wymaga, iż pojęcie wskazane w art. 37 ust. 1 lit. b RODO mówiące o regularnym i systematycznym monitorowaniu osób, których dane dotyczą, nie zostało również zdefiniowane przez ustawodawcę unijnego. Niemniej jednak, kwestia monitorowania zachowania osób, których dane dotyczą, ujęta została z Motywie 24 RODO. Zgodnie z nim „(…)Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw”. Jednakże na samo monitorowanie należy patrzeć szerzej. Nie odnosi się jedynie do internetu (środowiska on-line)

Zdaniem GR Art. 29 słowo „regularne” należy rozumieć jako:

Z kolei słowo „systematyczne” należy rozumieć jako:

Przykłady działań, które mogą stanowić „regularne i systematyczne monitorowanie osób, których dane dotyczą”:

Kontakt

Nasi eksperci są do Państwa dyspozycji

W związku z faktem, że znaczny zakres usług świadczymy poza biurami Kancelarii, serdecznie prosimy o uprzednie ustalanie terminu konsultacji prawnych telefonicznie lub za pośrednictwem poczty elektronicznej.