Czy trzeba udokumentować, dlaczego inspektor ochrony danych nie został wyznaczony

Agnieszka Stępień

Autor: Agnieszka Stępień

Dodano: 9 kwietnia 2018
Czy trzeba udokumentować, dlaczego inspektor ochrony danych nie został wyznaczony

Ogólne rozporządzenie o ochronie danych (RODO) przewiduje katalog okoliczności, w których wyznaczenie inspektora ochrony danych będzie obligatoryjne. Dowiedz się, w jaki sposób administrator danych będzie zobowiązany poinformować o wyznaczeniu inspektora ochrony danych oraz czy będzie musiał udokumentować decyzję o jego niewyznaczaniu.

Ogólne rozporządzenie o ochronie danych reguluje kwestię inspektorów ochrony danych w przepisach art. 37–39. Zgodnie z art. 37 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze, gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę bądź
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

W pozostałych przypadkach wyznaczenie inspektora ochrony danych pozostaje decyzją administratora danych. 

Kogo trzeba poinformować o wyznaczeniu inspektora

Jeśli administrator danych zdecyduje się na wyznaczenie inspektora ochrony danych, przepisy RODO nakładają na niego (lub podmiot przetwarzający) obowiązek opublikowania jego danych. Rozwiązanie to jest nowością w stosunku do dotychczasowej praktyki, zgodnie z którą dane administratora bezpieczeństwa informacji (ABI) były dostępne przede wszystkim w jawnym rejestrze ABI prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jak wskazuje art. 39 ust. 1 pkt e RODO, jednym z wielu zadań inspektora ochrony danych jest pełnienie funkcji punktu kontaktowego w kwestiach związanych z przetwarzaniem. Celem wprowadzonego rozwiązania jest zapewnienie osobom, których dane dotyczą, i organowi nadzorczemu łatwego, bezpośredniego i szybkiego kontaktu z inspektorem ochrony danych (wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych z 13 grudnia 2016 r., WP 243, s. 12). Grupa Robocza Art. 29 rekomenduje, by dane kontaktowe zawierały:

  • imię i nazwisko inspektora ochrony danych,
  • adres korespondencyjny,
  • telefon kontaktowy,
  • dedykowany adres e-mail.

Zgodnie z projektem ustawy o ochronie danych osobowych z 16 marca 2018 r. administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych, będzie musiał powiadomić Prezesa Urzędu Ochrony Danych Osobowych (następca GIODO) o jego wyznaczeniu w ciągu 14 dni od dnia wyznaczenia, podając jego imię i nazwisko, adres e-mail, numer telefonu.

Administrator danych nie wyznaczył inspektora – co musi zrobić

Co stanie się w sytuacji, gdy administrator danych nie zdecyduje się wyznaczyć inspektora ochrony danych? Czy wystarczy nie zamieścić informacji o inspektorze ochrony danych na stronie internetowej oraz nie zgłosić jego danych do Prezesa Urzędu Ochrony Danych Osobowych?

Zgodnie z zasadą rozliczalności zawartą w RODO administrator danych będzie musiał zarówno przed organem nadzorczym, jak i przed osobą, której dane dotyczą, rozliczyć się z przestrzegania obowiązujących przepisów. Jeżeli nie wywiąże się z tego obowiązku, może mieć to daleko idące konsekwencje prawne określone w art. 83 ust. 5 pkt a RODO. Jeśli administrator danych nie zdecyduje się na wyznaczenie inspektora ochrony danych, to będzie musiał samodzielnie realizować liczne obowiązki nałożone na niego. Warto więc, by decyzja była świadomym wyborem, a nie wynikiem braku wiedzy lub oszczędności.

Zgodnie z art. 39 RODO inspektor ochrony danych ma być istotnym wsparciem dla administratora danych w procesie przetwarzania danych osobowych m.in. poprzez:

  • monitorowanie przestrzegania przepisów RODO,
  • wspieranie administratora w przypadku przeprowadzania oceny skutków dla ochrony danych czy
  • prowadzenie rejestru czynności przetwarzania danych osobowych.
Ważne:

Jeśli administrator danych nie wyznaczy inspektora ochrony danych, powinien zaplanować proces przetwarzania danych osobowych tak, by decyzja ta w żaden sposób nie wpływała negatywnie na przetwarzanie danych.

Decyzja o niewyznaczeniu inspektora – czy ją udokumentować

Udokumentowanie decyzji o niewyznaczeniu inspektora ochrony danych ma szczególne znaczenie w tych przypadkach, w których wyznaczenie go jest obligatoryjne. Z uwagi na nieostry charakter przepisów określonych w art. 37 RODO w praktyce wielu administratorów stanie przed dylematem, czy przesłanki określone w pkt a–c tego artykułu dotyczą jego jednostki organizacyjnej. Właściwe udokumentowanie decyzji o niewyznaczaniu inspektora ochrony danych będzie szczególnie istotne w sytuacjach wątpliwych, w których trudno jest administratorowi podjąć decyzję, czy spełnia przesłanki określone w art. 37 RODO, czy też nie.

Jeżeli administrator danych po przeprowadzonej analizie art. 37 RODO nie zdecyduje się wyznaczyć inspektora ochrony danych, uznając, że nie spełnia kryteriów określonych w tym przepisie, powinien móc wykazać się dowodami potwierdzającymi przyjęte stanowisko. Jeśli w jego ocenie nie kwalifikuje się, np. jako podmiot przetwarzający dane na dużą skalę (chociaż ma odnośnie do tego wątpliwości), do obligatoryjnego wyznaczenia inspektora ochrony danych, powinien móc wskazać przesłanki potwierdzające jego tezę zgodnie z zasadą rozliczalności, tak by móc rozliczyć się zarówno przed osobą, której dane dotyczą, jak i przed Prezesem Urzędu Ochrony Danych Osobowych.

Ważne:

Chociaż przepisy RODO nie nakładają na administratorów danych obowiązku udokumentowania decyzji o niewyznaczeniu inspektora ochrony danych, to w świetle zasady rozliczalności warto móc poprzeć podjętą decyzję konkretnymi dowodami potwierdzającymi przyjęte rozwiązanie.

Agnieszka Stępień

Autor: Agnieszka Stępień

dr nauk prawnych, nauczyciel akademicki z zakresu ochrony danych osobowych, adiunkt w Instytucie Bezpieczeństwa w Społecznej Akademii Nauk, współzałożycielka Instytutu Ochrony Danych Osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel