Grupa Robocza wyjaśnia – kiedy powołać inspektora ochrony danych

Zgodnie z art. 37 ogólnego rozporządzenia inspektora ochrony danych będzie trzeba wyznaczyć, gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Grupa Robocza Art. 29 zaleca, aby podmioty przetwarzające dane, przeprowadziły wewnętrzną analizę, która pomoże stwierdzić, czy należy powołać DPO, czy też nie. Nawet jeśli okaże się, że nie musiały powoływać inspektora, będą mogły udowodnić, że wzięły pod uwagę odpowiednie czynniki. Nawet jeśli organizacja wyznaczy inspektora dobrowolnie, będzie on miał takie same obowiązki i prawa, co inspektor wyznaczany obowiązkowo.

Nawet jeśli organizacja, która nie musi powołać inspektora, tego nie zrobi, nie wyklucza to możliwości zatrudnienia pracownika lub konsultanta zewnętrznego, którzy zajmą się ochroną danych osobowych w podmiocie. Nie będzie to jednak inspektor ochrony danych osobowych – trzeba to jasno podkreślić w komunikacji w ramach organizacji, z organem nadzoru czy podmiotami danych – podkreśla Grupa Robocza.

Zdaniem Grupy Roboczej Art. 29 pojęcie organu lub podmiotu publicznego ma być ustalane zgodnie z prawem krajowym. Zadania publiczne mogą być realizowane nie tylko przez władze lub jednostki publiczne, ale też przez inne osoby fizyczne lub prawne prawa publicznego lub prywatnego, które świadczą usługi np. w zakresie transportu publicznego.

Osoby, których dane są w ten sposób przetwarzane są w bardzo podobnej sytuacji, jak gdyby ich dane były przetwarzane przez organ publiczny. Dlatego podmioty prywatne mogą w takiej sytuacji wyznaczyć inspektora ochrony danych, choć nie jest to obowiązkowe. Zdaniem Grupy Roboczej Art. 29 będzie to dobra praktyka.

Zgodnie z ogólnym rozporządzeniem „główna działalność” administratora to jego zasadnicze, a nie poboczne czynności. Zdaniem Grupy Roboczej Art. 29 są to kluczowe działania niezbędne do osiągnięcia celów administratora. „Głównej działalności” nie można jednak traktować wyłącznie jako nierozerwalną część działalności administratora. Przykładowo, główną działalnością szpitala jest zapewnienie opieki zdrowotnej. Jednak szpital nie może zrobić tego bezpiecznie i skutecznie bez przetwarzania danych osobowych pacjentów. Dlatego przetwarzanie danych będzie jedną z jego kluczowych działalności i będzie musiał wyznaczyć inspektora. Podobnie będzie w przypadku firm ochroniarskich.

Czynności związane z obsługą pracowników, np. wypłata wynagrodzeń, Grupa Robocza uznała za funkcje pomocnicze, a nie podstawową działalność.

Zgodnie z ogólnym rozporządzeniem przetwarzanie danych na dużą skalę jest przesłanką do wyznaczenia inspektora. Grupa Robocza Art. 29 zaleca, aby ustalając, czy przetwarzanie danych osobowych odbywa się na dużą skalę wziąć pod uwagę:

• liczbę osób, których dane dotyczą – jako konkretną liczbę lub część określonej populacji,
• objętość danych lub szereg różnych elementów przetwarzanych danych,
• czas trwania lub trwałość procesu przetwarzania danych,
• zakres geograficzny przetwarzania danych.

Ogólne rozporządzenie nie definiuje regularnego i systematycznego monitorowania podmiotów danych. Jednak w motywie 24 wskazuje, że są to wszystkie formy śledzenia i profilowania w Internecie, w tym do celów reklamy behawioralnej. Zdaniem Grupy Roboczej jest to tylko jeden z przykładów monitorowania.

Jako „systematyczne” Grupa uznaje działanie:

• przeprowadzane w ramach strategii,
• odbywające się w ramach ogólnego planu gromadzenia danych,
• występujące w zależności od systemu,
• zorganizowane, metodyczne, zaplanowane.

Działanie „regularne”, czyli zdaniem Grupy Roboczej:

• stałe lub występujące w określonych odstępach czasu,
• powtarzające się lub powtarzające się co określony czas,
• odbywające się stale lub okresowo.

Będzie to na przykład obsługa sieci telekomunikacyjnej czy profilowanie do celów oceny ryzyka.

Kolejna przesłanka powołania inspektora ochrony danych jest uzależniona od przetwarzania przez administratora szczególnych kategorii danych i dotyczących wyroków skazujących i naruszeń prawa. Grupa Robocza wskazuje, że wystarczy przetwarzanie jednej z tych dwóch kategorii danych, a wyznaczenie DPO będzie obowiązkowe.

Podmiot przetwarzający wyznacza inspektora ochrony danych w takich samych sytuacjach, co administrator. W pewnych sytuacjach tylko administrator lub tylko procesor będą wyznaczać DPO, a czasem obowiązek ten będzie dotyczył obu podmiotów. Chociaż procesor nie zawsze będzie musiał wyznaczać DPO, Grupa Robocza wskazuje to jako dobrą praktykę.

Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, jeśli można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Jak wskazuje Grupa Robocza inspektor ma być dostępny nie tylko dla podmiotów danych i organu nadzorczego, ale także dla pracowników przedsiębiorstwa. Jego dane kontaktowe powinny być więc dostępne zgodnie z wymaganiami ogólnego rozporządzenia.

Inspektor musi być w stanie skontaktować się z osobami, których dane dotyczą, i organem nadzorczym. Oznacza to również, że musi komunikować się z nimi w języku przez nich używanym.

Również dla kilku podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości – można wyznaczyć jednego inspektora ochrony danych. W tej sytuacji także administrator musi zapewnić łatwy kontakt z inspektorem. Poza tym, biorąc pod uwagę, że inspektor będzie odpowiedzialny za różne zadania, administrator musi zapewnić, że będzie on je w stanie odpowiednio realizować dla wszystkich podmiotów.

Zgodnie z ogólnym rozporządzeniem inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych. Powinien posiadać wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych i umieć wypełniać swoje zadania. Jak wynika z motywu 97 preambuły rozporządzenia wiedza inspektora musi być dostosowana do prowadzonych operacji przetwarzania danych oraz ochrony, której wymagają przetwarzane dane.

Grupa Robocza zaleca, aby poziom wymaganej wiedzy inspektora uzależnić od wrażliwości, złożoności i ilości przetwarzanych danych i procesów, które zachodzą w organizacji. Trzeba też wziąć pod uwagę, czy dane są przekazywane poza UE.

Zdaniem Grupy Roboczej inspektor powinien mieć doświadczenie ze stosowaniem krajowych i europejskich przepisów o ochronie danych i bardzo dobrze znać regulacje ogólnego rozporządzenia. Jak twierdzi Grupa Robocza istotna jest także znajomość sektora biznesu, w którym działa administrator i jego organizacji. Inspektor powinien mieć też wiedzę na temat prowadzonych procesów przetwarzania danych u administratora, systemów informatycznych oraz potrzeb administratora związanych z bezpieczeństwem i ochroną danych.

Inspektor pracujący w sektorze publicznym musi mieć solidną wiedzę na temat zasad i procedur w administracji.

Zdolność do wypełniania zadań opiera się na cechach osobistych, wiedzy i pozycji inspektora w organizacji. Powinien on działać rzetelnie i zgodnie z etyką zawodową. Jego podstawowym zadaniem jest zapewnienie zgodności działania administratora z ogólnym rozporządzeniem. Inspektor ma odgrywać kluczową rolę we wspieraniu kultury ochrony danych w organizacji i przyczynić się do realizacji przepisów rodo.

Grupa Robocza dopuszcza możliwość skorzystania z zewnętrznego inspektora ochrony danych – na podstawie umowy o świadczenie usług. Musi on jednak spełniać wszystkie wymagania, jakie ogólne rozporządzenie stawia wobec inspektora. Jest jednak także chroniony przez przepisy rodo.

Co ważne, Grupa Robocza wskazuje, że obowiązki inspektora może pełnić kilka osób pracujących w zespole. Dla zachowania jasności prawnej i dobrej organizacji Grupa Robocza zaleca jasny podział zadań w zespole DPO ora wyznaczenie jednej osoby jako kontakt dla administratora.

Rozporządzenie nakazuje opublikowanie danych kontaktowych inspektora i przekazanie ich organowi nadzorczemu. Grupa Robocza wyjaśnia, że należy podać adres pocztowy, dedykowany numer telefonu i dedykowany adres e-mail. W razie potrzeby, do celów komunikacji z podmiotami danych, można uruchomić dedykowaną infolinię lub formularz kontaktowy na stronie administratora.

Rozporządzenie nie wymaga podawania imienia i nazwiska inspektora, choć zdaniem Grupy Roboczej może być to dobra praktyka, jednak to inspektor i administrator powinni zdecydować, czy je podawać. Grupa zaleca też, aby pracowników poinformować o danych inspektora w intranecie, wewnętrznej książce telefonicznej lub graficznej strukturze organizacyjnej.