Czy firma IT musi wyznaczyć inspektora ochrony danych

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

Dodano: 23 stycznia 2018
Czy firma IT musi wyznaczyć inspektora ochrony danych
Pytanie:  Czy firmy IT świadczące kompleksowe lub częściowe usługi informatyczne (m.in.: opieka informatyczna, dostęp zdalny, helpdesk, hosting, monitoring sieciowy, backup, infrastruktura serwerowa itp.) dla swoich klientów będą zobligowane wyznaczyć inspektora ochrony danych na podstawie art. 37 ust. 1 lit. b RODO?
Odpowiedź: 

Ocena, kiedy powołanie inspektora ochrony danych jest obowiązkowe, a kiedy nie, będzie zależeć od okoliczności konkretnego przypadku. Dopuszczalna jest zatem sytuacja, w której jedne firmy świadczące usługę IT będą musiały wyznaczyć inspektora ochrony danych, a inne nie będą miały takiego obowiązku.

Zgodnie z art. 37 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO) każdy administrator danych oraz podmiot przetwarzający ma obowiązek wyznaczyć inspektora ochrony danych (IOD), gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  • główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Porównując obowiązki wynikające z RODO do obecnie obowiązujących ustawy o ochronie danych osobowych, należy wskazać, że o ile powołanie administratora bezpieczeństwa informacji jest fakultatywne, o tyle wyznaczenie inspektora ochrony danych będzie obowiązkowe, gdy spełniona zostanie choćby jedna z przesłanek z art. 37 ust. 1 RODO.

Jak stwierdzić, że przetwarzanie to główna działalność na dużą skalę, a monitorowanie jest regularne i systematyczne

Druga z przesłanek dotyczy sytuacji, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. RODO nie precyzuje bliżej tych niezbyt jasnych zwrotów. Wskazówki, jak rozumieć wyrażenia „główna działalność administratora”, „na dużą skalę” oraz „regularne i systematyczne monitorowanie”, można odnaleźć w wytycznych dotyczących inspektorów ochrony danych przyjętych przez Grupę Roboczą Art. 29 (Wytyczne WP 243).

Zdaniem Grupy Roboczej Art. 29 przetwarzanie danych osobowych jest „główną działalnością administratora”, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. „Główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Zdaniem Grupy Roboczej Art. 29 o tym, czy przetwarzanie następuje na „dużą skalę” powinny świadczyć takie czynniki, jak:

  • liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
  • zakres przetwarzanych danych osobowych,
  • okres, przez jaki dane są przetwarzane,
  • zakres geograficzny przetwarzania danych osobowych.

Z kolei pojęcie „regularne” powinno być rozumiane jako:

  • stałe albo występujące w określonych odstępach czasu przez ustalony okres,
  • cykliczne albo powtarzające się w określonym terminie,
  • odbywające się stale lub okresowo.

Natomiast monitorowanie „systematyczne” oznacza monitorowanie:

  • zgodnie z określonym systemem,
  • zaaranżowane, zorganizowane lub metodyczne,
  • odbywające się w ramach generalnego planu zbierania danych,
  • przeprowadzone w ramach określonej strategii.

Czy wyznaczać inspektora ochrony danych

Wskazówki te nie dają konkretnej odpowiedzi na pytanie, kiedy administrator lub podmiot przetwarzający powinni wyznaczyć inspektora ochrony danych. Ocena, kiedy powołanie IOD jest obowiązkowe, a kiedy nie, będzie zależeć od okoliczności konkretnego przypadku. Dopuszczalna jest zatem sytuacja, w której jedne firmy świadczące usługę IT będą musiały wyznaczyć IOD, a inne nie będą miały takiego obowiązku.

Grupa Robocza Art. 29 zaleca, aby stosownie do zasady rozliczalności administratorzy i podmioty przetwarzające dokumentowali przebieg prowadzonej przez siebie analizy wewnętrznej w celu ustalenia, czy w danym przypadku należy wyznaczyć IOD, aby mogli wykazać, że należycie uwzględnili stosowne czynniki.

Agnieszka Kręcisz-Sarna

Autor: Agnieszka Kręcisz-Sarna

radca prawny, ekspert z zakresu postępowania administracyjnego. Prowadzi kompleksową obsługę prawną przedsiębiorców oraz świadczy pomoc prawną dla jednostek sektora finansów publicznych, m.in. dla organów nadzoru budowlanego

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel