Czy trzeba udokumentować, dlaczego inspektor ochrony danych nie został wyznaczony

Ogólne rozporządzenie o ochronie danych reguluje kwestię inspektorów ochrony danych w przepisach art. 37–39. Zgodnie z art. 37 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze, gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę bądź
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

W pozostałych przypadkach wyznaczenie inspektora ochrony danych pozostaje decyzją administratora danych. 

Jeśli administrator danych zdecyduje się na wyznaczenie inspektora ochrony danych, przepisy RODO nakładają na niego (lub podmiot przetwarzający) obowiązek opublikowania jego danych. Rozwiązanie to jest nowością w stosunku do dotychczasowej praktyki, zgodnie z którą dane administratora bezpieczeństwa informacji (ABI) były dostępne przede wszystkim w jawnym rejestrze ABI prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Jak wskazuje art. 39 ust. 1 pkt e RODO, jednym z wielu zadań inspektora ochrony danych jest pełnienie funkcji punktu kontaktowego w kwestiach związanych z przetwarzaniem. Celem wprowadzonego rozwiązania jest zapewnienie osobom, których dane dotyczą, i organowi nadzorczemu łatwego, bezpośredniego i szybkiego kontaktu z inspektorem ochrony danych (wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych z 13 grudnia 2016 r., WP 243, s. 12). Grupa Robocza Art. 29 rekomenduje, by dane kontaktowe zawierały:

• imię i nazwisko inspektora ochrony danych,
• adres korespondencyjny,
• telefon kontaktowy,
• dedykowany adres e-mail.

Zgodnie z projektem ustawy o ochronie danych osobowych z 16 marca 2018 r. administrator danych albo podmiot przetwarzający, który wyznaczył inspektora ochrony danych, będzie musiał powiadomić Prezesa Urzędu Ochrony Danych Osobowych (następca GIODO) o jego wyznaczeniu w ciągu 14 dni od dnia wyznaczenia, podając jego imię i nazwisko, adres e-mail, numer telefonu.

Co stanie się w sytuacji, gdy administrator danych nie zdecyduje się wyznaczyć inspektora ochrony danych? Czy wystarczy nie zamieścić informacji o inspektorze ochrony danych na stronie internetowej oraz nie zgłosić jego danych do Prezesa Urzędu Ochrony Danych Osobowych?

Zgodnie z zasadą rozliczalności zawartą w RODO administrator danych będzie musiał zarówno przed organem nadzorczym, jak i przed osobą, której dane dotyczą, rozliczyć się z przestrzegania obowiązujących przepisów. Jeżeli nie wywiąże się z tego obowiązku, może mieć to daleko idące konsekwencje prawne określone w art. 83 ust. 5 pkt a RODO. Jeśli administrator danych nie zdecyduje się na wyznaczenie inspektora ochrony danych, to będzie musiał samodzielnie realizować liczne obowiązki nałożone na niego. Warto więc, by decyzja była świadomym wyborem, a nie wynikiem braku wiedzy lub oszczędności.

Zgodnie z art. 39 RODO inspektor ochrony danych ma być istotnym wsparciem dla administratora danych w procesie przetwarzania danych osobowych m.in. poprzez:

• monitorowanie przestrzegania przepisów RODO,
• wspieranie administratora w przypadku przeprowadzania oceny skutków dla ochrony danych czy
• prowadzenie rejestru czynności przetwarzania danych osobowych.

Udokumentowanie decyzji o niewyznaczeniu inspektora ochrony danych ma szczególne znaczenie w tych przypadkach, w których wyznaczenie go jest obligatoryjne. Z uwagi na nieostry charakter przepisów określonych w art. 37 RODO w praktyce wielu administratorów stanie przed dylematem, czy przesłanki określone w pkt a–c tego artykułu dotyczą jego jednostki organizacyjnej. Właściwe udokumentowanie decyzji o niewyznaczaniu inspektora ochrony danych będzie szczególnie istotne w sytuacjach wątpliwych, w których trudno jest administratorowi podjąć decyzję, czy spełnia przesłanki określone w art. 37 RODO, czy też nie.

Jeżeli administrator danych po przeprowadzonej analizie art. 37 RODO nie zdecyduje się wyznaczyć inspektora ochrony danych, uznając, że nie spełnia kryteriów określonych w tym przepisie, powinien móc wykazać się dowodami potwierdzającymi przyjęte stanowisko. Jeśli w jego ocenie nie kwalifikuje się, np. jako podmiot przetwarzający dane na dużą skalę (chociaż ma odnośnie do tego wątpliwości), do obligatoryjnego wyznaczenia inspektora ochrony danych, powinien móc wskazać przesłanki potwierdzające jego tezę zgodnie z zasadą rozliczalności, tak by móc rozliczyć się zarówno przed osobą, której dane dotyczą, jak i przed Prezesem Urzędu Ochrony Danych Osobowych.