Zastanawiasz się, czy będziesz musiał wyznaczyć inspektora ochrony danych? Poznaj wytyczne Grupy Roboczej

Przepisy dotyczące wyznaczenia inspektora ochrony danych osobowych określone ogólnym rozporządzeniu o ochronie danych będą obowiązywały w polskim systemie prawnym od 25 maja 2018 r.

W swoich wytycznych Grupa Robocza zaprezentowała stanowisko w sprawie m.in.  obowiązku wyznaczania przez administratora danych inspektora ochrony danych osobowych. Grupa przedstawiła też propozycje interpretacji niejasnych terminów określonych w ogólnym rozporządzeniu, które mają istotne znaczenie dla realizacji poszczególnych przepisów np.:

• „główna działalność administratora danych”,
• „duża skala”,
• „regularne i systematyczne monitorowanie osób, których dane dotyczą”.

Warto zwrócić uwagę, na zapisy wytycznych, które dotyczą możliwości powołania inspektora ochrony danych również w tych podmiotach, w których taki obowiązek nie wynika bezpośrednio z ogólnego rozporządzenia. Takie rozwiązanie będzie korzystniejsze z uwagi na niejednoznaczne zapisy art. 37 ust. 1 ogólnego rozporządzenia, który określa podmioty zobligowane do wyznaczenia inspektora.

Dobrym podejściem byłoby przeprowadzenie przez administratora danych analizy ryzyka, w której oceniłby ryzyko związane z brakiem wyznaczenia inspektora ochrony danych osobowych. Takim ryzykiem mógłby być brak odpowiedniego monitorowania przestrzegania przepisów ogólnego rozporządzenia.

Administrator danych świadomie mógłby zaakceptować lub nie ryzyko związane z niewyznaczeniem inspektora. Administrator danych niezależnie od tego, czy zdecyduje się powołać inspektora, zobligowany jest do przestrzegania zasad określonych w ogólnym rozporządzeniu, dlatego korzystniejszym rozwiązaniem wydaje się jego wyznaczenie.

Grupa Robocza wskazuje, że niezależnie od tego, czy administrator danych, który nie jest zobowiązany do wyznaczenia inspektora, i który go nie wyznaczy, będzie on mógł zatrudnić osoby lub zespołu osób, które będą go wspomagały w realizowaniu postanowień ogólnego rozporządzenia. Jednak nie będzie to instytucja inspektora ochrony danych w rozumieniu tego rozporządzenia. Tym samym administrator danych nie będzie musiał spełnić wymogów określonych w ogólnym rozporządzeniu dotyczących inspektora ochrony danych.

Aby ustalić, czy administrator danych jest zobowiązany do wyznaczenia inspektora ochrony danych osobowych, należy właściwie zinterpretować art. 37 ust. 1 ogólnego rozporządzenia. W artykule tym zawarto dwa niejednoznacznie sprecyzowane terminy, tj. „główna działalność” i „duża skala”. Wyjaśnienia Grupy Roboczej dotyczące tych terminów nadal mogą powodować wątpliwości.

Zgodnie z ogólnym rozporządzeniem „główna działalność” administratora w sektorze prywatnym to jego zasadnicze, a nie drugoplanowe przedsięwzięcia. Według Grupy Roboczej są to główne działania niezbędne do osiągnięcia celów administratora danych. Jako przykład administratora danych, który będzie zobligowany powołać inspektora ochrony danych, Grupa Robocza wskazała szpital, ponieważ jego podstawową działalnością jest zapewnienie opieki zdrowotnej. Taką opiekę może on zapewnić jedynie, przetwarzając dane osobowe (dokumentację medyczną) pacjentów.

Przetwarzanie tych danych jest jednym z podstawowych działań szpitala, dlatego jest on zobowiązany w świetle art. 37 ust. 1 ogólnego rozporządzenia do wyznaczenia inspektora ochrony danych. Jednak w dalszej rozprawie Grupa Robocza wskazuje, że „głównej działalności” nie można jednak traktować wyłącznie jako nierozerwalnej części działalności administratora.

Warto podkreślić, że Grupa Robocza jednoznacznie uznała, że czynności związane z obsługą pracowników np. wypłata wynagrodzeń, są czynnościami pomocniczymi, a nie podstawową działalnością administratora danych. W związku z tym podmioty, które przetwarzają dane osobowe pracowników dla celów ich zatrudnienia, ale kluczowa działalność podmiotu nie wiąże się z przetwarzaniem danych osobowych, nie muszą powoływać inspektora.

Kolejnym pojęciem niedookreślonym w ogólnym rozporządzeniu jest termin „duża skala”. Właściwe zinterpretowanie tego terminu ma decydujące znaczenie, ponieważ wiąże się z obowiązkiem wyznaczenia przez administratora danych inspektora.

Według Grupy Roboczej nie jest możliwe, aby wskazać konkretną liczbę, która miałaby określać „dużą skalę”. Dlatego zaproponowała, aby wziąć pod uwagę następujące kryteria, rozpatrując pojęcie „dużej skali”, tj.:

• liczbę osób, których dane dotyczą – jako konkretną liczbę lub część określonej populacji,
• wolumen danych lub zakres przetwarzania danych,
• czas trwania lub trwałość procesu przetwarzania danych,
• zakres geograficzny przetwarzania danych.

Warto zauważyć, że ogólne rozporządzenie nie wskazuje, czy pojęcie „dużej skali” ma być interpretowane zgodnie z ustawodawstwem krajowym, czy też Unii Europejskiej, co jest dodatkowym utrudnieniem dla zinterpretowania tego terminu.

Na uwagę zasługuje również stanowisko Grupy Roboczej dotyczące terminu „regularnego i systematycznego monitorowania osób, których dane dotyczą”. Warto nadmienić, że ogólne rozporządzenie nie wyjaśnia jego znaczenia, natomiast w motywie 24 wskazuje jedynie, że są to m.in. wszystkie formy śledzenia i profilowania w Internecie, w tym do celów reklamy spersonalizowanej.

Zdaniem Grupy Roboczej jest to tylko jeden z przykładów monitorowania. Jako „systematyczne” Grupa uznaje działanie zorganizowane, metodyczne, zaplanowane, przeprowadzane w ramach strategii, odbywające się w ramach ogólnego planu gromadzenia danych. Działanie „regularne”, zdaniem Grupy Roboczej to m.in.

• działanie ciągłe lub występujące w określonych odstępach czasu, trwające przez określony czas,
• działania uruchamianie lub powtarzane określoną ilość razy,
• działania odbywające się stale lub okresowo.

Kolejna kwestia poruszona w wytycznych Grupy Roboczej to możliwość wyznaczenia jednego inspektora ochrony danych dla grupy przedsiębiorców. Rozporządzenie przewiduje taką możliwość, pod warunkiem możliwości łatwego nawiązania z nim kontaktu z każdej jednostki organizacyjnej (art. 37 ust. 2 ogólnego rozporządzenia). Grupa Robocza wskazuje, że inspektor ma być dostępny nie tylko dla osób, których dane dotyczą, i organu nadzorczego, ale także dla pracowników przedsiębiorstwa. Ponadto inspektor musi być w stanie skontaktować się z osobami, których dane dotyczą, i organem nadzorczym co oznacza, że musi komunikować się z nimi w języku przez nich używanym.

Jednak takie stanowisko Grupy Roboczej wydaje się pewnym utrudnieniem i nie zawsze możliwym do zrealizowania – zwłaszcza ma to istotne znaczenie w przypadku grup kapitałowych, które posiadają wiele podmiotów w różnych krajach. W takim przypadku oznaczałoby to konieczność władania przez inspektora przynajmniej kilkoma językami obcymi.

Grupa Robocza wypowiedziała się dość ogólnie w sprawie wiedzy i kompetencji inspektora, zalecając, aby poziom wymaganej wiedzy inspektora uzależnić od wrażliwości, złożoności i ilości przetwarzanych danych i procesów, które zachodzą w organizacji. Grupa Robocza proponuje, aby jako kryterium wziąć pod uwagę także to, czy dane są przekazywane poza Unię Europejską.

Ponadto zdaniem Grupy Roboczej inspektor powinien mieć doświadczenie ze stosowaniem krajowych i europejskich przepisów o ochronie danych. Jak twierdzi Grupa Robocza, istotna jest także znajomość sektora biznesu, w którym działa administrator. Inspektor powinien mieć też wiedzę na temat prowadzonych procesów przetwarzania danych u administratora, systemów informatycznych oraz potrzeb administratora związanych z bezpieczeństwem i ochroną danych. Grupa Robocza nie wskazuje jednak, w jaki sposób administrator danych powinien zweryfikować wymagania wobec inspektora, np. żądać określonego certyfikatu, czy też jak długiego stażu pracy wymagać od inspektora.

Grupa Robocza wskazuje, że obowiązki inspektora może pełnić kilka osób pracujących w zespole. Zaleca jednak jasny podział zadań w zespole inspektora i wyznaczenie jednej osoby do kontaktu z administratorem. Oznacza to, że podmioty, które zajmują się wspieraniem organizacji w zakresie ochrony danych osobowych, będą mogły nadal realizować takie działania. Trzeba będzie jednak uwzględniać zapisy ogólnego rozporządzenia, czyli jako inspektora wskazać osobę fizyczną, a nie np. firmę, którą reprezentuje osoba fizyczna.