Obowiązek powołania Inspektora Ochrony Danych

Sytuacje, kiedy Administrator lub Podmiot przetwarzający zobligowany jest do powołania Inspektora Ochrony Danych (dalej „IOD”), jasno wskazane są w art. 37 RODO. Taka konieczność powstaje zawsze, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność Administratora lub Podmiotu przetwarzającego polega na operacjach przetwarzania, które, ze względu na swój charakter, zakres lub cele, wymagają regularnego i systematycznego monitoro
  • +wania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność Administratora lub Podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

     

    Pomijając dość oczywisty obowiązek przewidziany dla organów administracji i podmiotów publicznych, do weryfikacji Administratora lub Podmiotu przetwarzającego pozostają dwie dalsze sytuacje: systematyczne monitorowanie osób oraz przetwarzanie na dużą skalę szczególnych kategorii danych lub wyroków skazujących. Aby wyjaśnić te definicje, posłużę się wytycznymi tzw. Grupy Roboczej art. 29 (dalej: „GR29”), która zajmowała się interpretacją przepisów RODO.

Przez „regularne i systematyczne monitorowanie” rozumieć należy czynności stałe, cykliczne lub okresowe, które odbywają się w zorganizowany sposób, metodycznie, w ramach przyjętego planu lub strategii, a polegające na monitorowaniu osób i ich zachowań, zarówno online, jak i w świecie rzeczywistym. Za przykłady GR29 podaje takie czynności, jak:

  • obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych;
  • przekierowywanie poczty elektronicznej;
  • działania marketingowe oparte na danych, w tym profilowanie;
  • ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy);
  • śledzenie lokalizacji, na przykład przez aplikacje mobilne;
  • programy lojalnościowe oraz reklama behawioralna;
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych;
  • monitoring wizyjny;
  • urządzenia skomunikowane, np. inteligentne liczniki, inteligentne samochody, automatyka domowa itp.

Aby lepiej zrozumieć drugą sytuację również wyjaśnić trzeba kilka kluczowych pojęć:

 

Przetwarzanie danych osobowych, zgodnie z wytycznymi GR29, jest główną działalnością Administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Tak więc „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celówdministratora albo podmiotu przetwarzającego dane. Przykładem może tu być szpital, którego główna działalność jest bezsprzecznie związana z przetwarzaniem danych osobowych dotyczących zdrowia. Nie będzie natomiast jego główną działalnością prowadzenie listy płac lub korzystanie z obsługi IT, jako iż są to działania jedynie wspierające główną działalność Administratora.

 

Dane szczególnej kategorii oraz dane dotyczące wyroków skazujących i czynów zabronionych zostały jasno określone w art. 9 i 10 RODO. Przypomnę więc tylko, że za szczególną kategorię danych uważa się dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, a także dane genetyczne, biometryczne oraz dane dotyczących zdrowia, seksualności lub orientacji seksualnej.

 

Choć RODO nie definiuje pojęcia „dużej skali”, pewne wskazówki można znaleźć  w motywie 91 rozporządzenia: przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym, lub przetwarzanie danych mogących wpłynąć na dużą liczbę osób. Według GR29 nie jest możliwe podanie konkretnej wartości dla określenia „dużej skali”, lecz zaleca się uwzględnienie poniższych czynników:

  • Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
  • Zakres przetwarzanych danych osobowych – czyli jak dużo danych zbieramy na temat konkretnej osoby;
  • Okres, przez jaki dane są przetwarzane;
  • Zakres geograficzny przetwarzania danych osobowych.

 

Jako przykłady „dużej skali” GR29 wskazuje:

  • Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  • Przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’);
  • Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  • Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
  • Przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

 

Mając powyższe na uwadze, każdy Administrator lub Podmiot przetwarzający powinien samodzielnie ocenić, czy prowadzona przez niego działalność skutkuje obowiązkiem powołania IOD, pamiętając jednocześnie, iż nawet przy braku takiego obowiązku nic nie stoi na przeszkodzie, aby powołać IOD w celu zwiększenia bezpieczeństwa swoich danych osobowych.

 

 

Nie znalazłeś tego co Cię interesuje, a masz pytanie ?

Skontaktuj się z naszą Kancelarią 

Kontakt

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *