Zastanawiasz się, czy będziesz musiał wyznaczyć inspektora ochrony danych? Poznaj wytyczne Grupy Roboczej

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 13 lutego 2017
Zastanawiasz się, czy będziesz musiał wyznaczyć inspektora ochrony danych? Poznaj wytyczne Grupy Roboczej

Grupa Robocza Art. 29 13 grudnia 2016 r. wydała wytyczne w sprawie inspektorów ochrony danych, którzy zastąpią administratorów bezpieczeństwa informacji. Sprawdź, kto zdaniem Grupy Roboczej będzie musiał wyznaczyć inspektora. Dowiedz się, jakie obowiązki i status będzie miał inspektor ochrony danych.

Przepisy dotyczące wyznaczenia inspektora ochrony danych osobowych określone ogólnym rozporządzeniu o ochronie danych będą obowiązywały w polskim systemie prawnym od 25 maja 2018 r.

Kto będzie musiał wyznaczyć inspektora

W swoich wytycznych Grupa Robocza zaprezentowała stanowisko w sprawie m.in.  obowiązku wyznaczania przez administratora danych inspektora ochrony danych osobowych. Grupa przedstawiła też propozycje interpretacji niejasnych terminów określonych w ogólnym rozporządzeniu, które mają istotne znaczenie dla realizacji poszczególnych przepisów np.:

  • „główna działalność administratora danych”,
  • „duża skala”,
  • „regularne i systematyczne monitorowanie osób, których dane dotyczą”.

Warto zwrócić uwagę, na zapisy wytycznych, które dotyczą możliwości powołania inspektora ochrony danych również w tych podmiotach, w których taki obowiązek nie wynika bezpośrednio z ogólnego rozporządzenia. Takie rozwiązanie będzie korzystniejsze z uwagi na niejednoznaczne zapisy art. 37 ust. 1 ogólnego rozporządzenia, który określa podmioty zobligowane do wyznaczenia inspektora.

Ważne:

Artykuł37 ust. 1 ogólnego rozporządzenia

„Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.

Dobrym podejściem byłoby przeprowadzenie przez administratora danych analizy ryzyka, w której oceniłby ryzyko związane z brakiem wyznaczenia inspektora ochrony danych osobowych. Takim ryzykiem mógłby być brak odpowiedniego monitorowania przestrzegania przepisów ogólnego rozporządzenia.

Administrator danych świadomie mógłby zaakceptować lub nie ryzyko związane z niewyznaczeniem inspektora. Administrator danych niezależnie od tego, czy zdecyduje się powołać inspektora, zobligowany jest do przestrzegania zasad określonych w ogólnym rozporządzeniu, dlatego korzystniejszym rozwiązaniem wydaje się jego wyznaczenie.

Grupa Robocza wskazuje, że niezależnie od tego, czy administrator danych, który nie jest zobowiązany do wyznaczenia inspektora, i który go nie wyznaczy, będzie on mógł zatrudnić osoby lub zespołu osób, które będą go wspomagały w realizowaniu postanowień ogólnego rozporządzenia. Jednak nie będzie to instytucja inspektora ochrony danych w rozumieniu tego rozporządzenia. Tym samym administrator danych nie będzie musiał spełnić wymogów określonych w ogólnym rozporządzeniu dotyczących inspektora ochrony danych.

„Główna działalność administratora”, czyli …

Aby ustalić, czy administrator danych jest zobowiązany do wyznaczenia inspektora ochrony danych osobowych, należy właściwie zinterpretować art. 37 ust. 1 ogólnego rozporządzenia. W artykule tym zawarto dwa niejednoznacznie sprecyzowane terminy, tj. „główna działalność” i „duża skala”. Wyjaśnienia Grupy Roboczej dotyczące tych terminów nadal mogą powodować wątpliwości.

Zgodnie z ogólnym rozporządzeniem „główna działalność” administratora w sektorze prywatnym to jego zasadnicze, a nie drugoplanowe przedsięwzięcia. Według Grupy Roboczej są to główne działania niezbędne do osiągnięcia celów administratora danych. Jako przykład administratora danych, który będzie zobligowany powołać inspektora ochrony danych, Grupa Robocza wskazała szpital, ponieważ jego podstawową działalnością jest zapewnienie opieki zdrowotnej. Taką opiekę może on zapewnić jedynie, przetwarzając dane osobowe (dokumentację medyczną) pacjentów.

Przetwarzanie tych danych jest jednym z podstawowych działań szpitala, dlatego jest on zobowiązany w świetle art. 37 ust. 1 ogólnego rozporządzenia do wyznaczenia inspektora ochrony danych. Jednak w dalszej rozprawie Grupa Robocza wskazuje, że „głównej działalności” nie można jednak traktować wyłącznie jako nierozerwalnej części działalności administratora.

Warto podkreślić, że Grupa Robocza jednoznacznie uznała, że czynności związane z obsługą pracowników np. wypłata wynagrodzeń, są czynnościami pomocniczymi, a nie podstawową działalnością administratora danych. W związku z tym podmioty, które przetwarzają dane osobowe pracowników dla celów ich zatrudnienia, ale kluczowa działalność podmiotu nie wiąże się z przetwarzaniem danych osobowych, nie muszą powoływać inspektora.

Jak rozumieć „dużą skalę” przetwarzania

Kolejnym pojęciem niedookreślonym w ogólnym rozporządzeniu jest termin „duża skala”. Właściwe zinterpretowanie tego terminu ma decydujące znaczenie, ponieważ wiąże się z obowiązkiem wyznaczenia przez administratora danych inspektora.

Według Grupy Roboczej nie jest możliwe, aby wskazać konkretną liczbę, która miałaby określać „dużą skalę”. Dlatego zaproponowała, aby wziąć pod uwagę następujące kryteria, rozpatrując pojęcie „dużej skali”, tj.:

  • liczbę osób, których dane dotyczą – jako konkretną liczbę lub część określonej populacji,
  • wolumen danych lub zakres przetwarzania danych,
  • czas trwania lub trwałość procesu przetwarzania danych,
  • zakres geograficzny przetwarzania danych.

Warto zauważyć, że ogólne rozporządzenie nie wskazuje, czy pojęcie „dużej skali” ma być interpretowane zgodnie z ustawodawstwem krajowym, czy też Unii Europejskiej, co jest dodatkowym utrudnieniem dla zinterpretowania tego terminu.

Przykład

Jako przykład „dużej skali” Grupa Robocza Art. 29 wymienia m.in.: dostawę usług telefonicznych lub internetowych, reklamę spersonalizowaną. Natomiast indywidualna praktyka prowadzona przez lekarza lub prawnika nie będzie przetwarzaniem na „dużą skalę”, niezależnie od ilości przetwarzanych danych.

Jak Grupa Robocza tłumaczy „monitorowanie osób”

Na uwagę zasługuje również stanowisko Grupy Roboczej dotyczące terminu „regularnego i systematycznego monitorowania osób, których dane dotyczą”. Warto nadmienić, że ogólne rozporządzenie nie wyjaśnia jego znaczenia, natomiast w motywie 24 wskazuje jedynie, że są to m.in. wszystkie formy śledzenia i profilowania w Internecie, w tym do celów reklamy spersonalizowanej.

Zdaniem Grupy Roboczej jest to tylko jeden z przykładów monitorowania. Jako „systematyczne” Grupa uznaje działanie zorganizowane, metodyczne, zaplanowane, przeprowadzane w ramach strategii, odbywające się w ramach ogólnego planu gromadzenia danych. Działanie „regularne”, zdaniem Grupy Roboczej to m.in.

  • działanie ciągłe lub występujące w określonych odstępach czasu, trwające przez określony czas,
  • działania uruchamianie lub powtarzane określoną ilość razy,
  • działania odbywające się stale lub okresowo.

Czy grupa firm może wyznaczyć jednego inspektora

Kolejna kwestia poruszona w wytycznych Grupy Roboczej to możliwość wyznaczenia jednego inspektora ochrony danych dla grupy przedsiębiorców. Rozporządzenie przewiduje taką możliwość, pod warunkiem możliwości łatwego nawiązania z nim kontaktu z każdej jednostki organizacyjnej (art. 37 ust. 2 ogólnego rozporządzenia). Grupa Robocza wskazuje, że inspektor ma być dostępny nie tylko dla osób, których dane dotyczą, i organu nadzorczego, ale także dla pracowników przedsiębiorstwa. Ponadto inspektor musi być w stanie skontaktować się z osobami, których dane dotyczą, i organem nadzorczym co oznacza, że musi komunikować się z nimi w języku przez nich używanym.

Jednak takie stanowisko Grupy Roboczej wydaje się pewnym utrudnieniem i nie zawsze możliwym do zrealizowania – zwłaszcza ma to istotne znaczenie w przypadku grup kapitałowych, które posiadają wiele podmiotów w różnych krajach. W takim przypadku oznaczałoby to konieczność władania przez inspektora przynajmniej kilkoma językami obcymi.

Inspektor – jakie będzie musiał spełnić wymogi

Grupa Robocza wypowiedziała się dość ogólnie w sprawie wiedzy i kompetencji inspektora, zalecając, aby poziom wymaganej wiedzy inspektora uzależnić od wrażliwości, złożoności i ilości przetwarzanych danych i procesów, które zachodzą w organizacji. Grupa Robocza proponuje, aby jako kryterium wziąć pod uwagę także to, czy dane są przekazywane poza Unię Europejską.

Ponadto zdaniem Grupy Roboczej inspektor powinien mieć doświadczenie ze stosowaniem krajowych i europejskich przepisów o ochronie danych. Jak twierdzi Grupa Robocza, istotna jest także znajomość sektora biznesu, w którym działa administrator. Inspektor powinien mieć też wiedzę na temat prowadzonych procesów przetwarzania danych u administratora, systemów informatycznych oraz potrzeb administratora związanych z bezpieczeństwem i ochroną danych. Grupa Robocza nie wskazuje jednak, w jaki sposób administrator danych powinien zweryfikować wymagania wobec inspektora, np. żądać określonego certyfikatu, czy też jak długiego stażu pracy wymagać od inspektora.

Uwaga

Grupa Robocza dopuszcza możliwość skorzystania z zewnętrznego inspektora ochrony danych – na podstawie umowy o świadczenie usług. Musi on jednak spełniać wszystkie wymagania ogólnego rozporządzenia.

Grupa Robocza wskazuje, że obowiązki inspektora może pełnić kilka osób pracujących w zespole. Zaleca jednak jasny podział zadań w zespole inspektora i wyznaczenie jednej osoby do kontaktu z administratorem. Oznacza to, że podmioty, które zajmują się wspieraniem organizacji w zakresie ochrony danych osobowych, będą mogły nadal realizować takie działania. Trzeba będzie jednak uwzględniać zapisy ogólnego rozporządzenia, czyli jako inspektora wskazać osobę fizyczną, a nie np. firmę, którą reprezentuje osoba fizyczna.

Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel