Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/678 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...), znane powszechnie jako "RODO" reorganizuje zasady ochrony danych osobowych osób fizycznych.

Jedną z istotnych zmian, które wprowadziło RODO, jest zastąpienie dotychczas fakultatywnie powoływanych administratorów bezpieczeństwa informacji (ABI) instytucją inspektorów ochrony danych (IOD). Inspektorzy Ochrony Danych muszą być w niektórych przypadkach obowiązkowo wyznaczeni zarówno przez administratorów ochrony danych osobowych, jak i przez podmioty przetwarzające dane osobowe powierzone im do przetwarzania przez administratora (a więc dotychczasowych procesorów, których RODO określa mianem "podmiotów przetwarzających").

Zgodnie z art. 37 ust.1 RODO, obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych ciąży na następujących podmiotach (administratorach i podmiotach przetwarzających):

  • organach oraz podmiotach publicznych (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości);
  • podmiotach, których główna działalność polega na przetwarzaniu na dużą skalę danych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą;
  • podmiotach, których działalność opiera się na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

Wszystko byłoby w porządku, gdyby w/w lista była w pełni jasna, skonkretyzowana i niepodlegająca różnym możliwym interpretacjom. Co gorsza, zgodnie z art. 83 ust.4 pkt a) RODO, naruszenie obowiązku wyznaczenia Inspektora Danych Osobowych penalizowane jest karą pieniężną, której górna granica to aż 10 milionów EURO lub - w przypadku przedsiębiorców - 2% całkowitego rocznego światowego obrotu danego przedsiębiorcy z poprzedniego roku obrotowego (przy czym zastosowanie ma zawsze kwota wyższa).

Można więc pokusić się o wniosek, że najbezpieczniej w zasadzie zawsze jest wyznaczyć Inspektora Ochrony Danych Osobowych. Nie żyjemy jednak w idealnym świecie i wyznaczenie Inspektora Ochrony Danych Osobowych będzie dla niektórych przedsiębiorców wymogiem ponad miarę ich możliwości finansowych. Zastanówmy się więc pokrótce jacy przedsiębiorcy kwalifikować będą się do w/w grup nr 2 i 3, dla których wyznaczenie Inspektora Ochrony Danych Osobowych będzie obligatoryjne (grupę nr 1 możemy z oczywistych względów pominąć).

Podmioty, których główna działalność polega na przetwarzaniu na dużą skalę danych, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą:

Analizując tę grupę podmiotów, warto zwrócić uwagę na to, że obligatoryjność wyznaczenia Inspektora Ochrony Danych Osobowych zależy od spełnienia aż trzech przesłanek: (i) regularne i systematyczne monitorowanie osób, których dane dotyczą; (ii) przetwarzanie danych osobowych na dużą skalę; (iii) przetwarzanie danych osobowych spełniające dwie wcześniejsze przesłanki musi stanowić ponadto główną działalność podmiotu.

Biorąc pod uwagę powyższe, łatwo wyprowadzić wniosek, że większość przedsiębiorców nie będzie kwalifikowała się do tej grupy podmiotów obligatoryjnie powołujących IODO.

Przyjąć można, że do grupy tej kwalifikować mogą się m.in. następujące podmioty:

  • szpitale oraz inne duże placówki lecznicze;
  • banki oraz inne instytucje kredytowe;
  • agencje ochrony mienia - w szczególności świadczące usługi monitoringu miejsc publicznie dostępnych;
  • podmioty świadczące usługi oparte na geolokalizacji (np. dostawcy aplikacji mobilnych śledzących lokalizację użytkowników);
  • duzi pracodawcy monitorujący - w szczególności w sposób zautomatyzowany - efektywność pracy swoich pracowników;
  • duże agencje detektywistyczne (aczkolwiek w tym przypadku trudno będzie - przynajmniej w polskich realiach - o spełnienie przesłanki mówiącej o dużej skali przetwarzania danych osobowych).

Wartościowe wskazówki mogące pomóc w ocenie czy dany podmiot kwalifikuje się do niniejszej grupy podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych osobowych opublikowane zostały pod niniejszym adresem przez Grupę Roboczą art. 29 ds. ochrony danych.

Podmioty, których działalność opiera się na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych dotyczących wyroków skazujących i naruszeń prawa:

W analizie niniejszej kategorii skoncentrujemy się na przesłance "szczególnej kategorii danych osobowych". Pojęcie to jest poniekąd sukcesorem pojęcia "danych wrażliwych" używanego w ustawie o ochronie danych osobowych. Zgodnie z art. 9 ust.1 RODO, danymi tymi będą następujące kategorie danych osobowych: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.

Biorąc pod uwagę powyższe, stwierdzić można, że bardzo wiele podmiotów mogłoby de facto kwalifikować się do niniejszej kategorii podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych osobowych. Na szczęście RODO wskazało, że obligatoryjność wyznaczenia IOD dotyczy jedynie podmiotów, które przetwarzają szczególne kategorie danych osobowych na dużą skalę. Obligatoryjność wyznaczenia IOD nie powinna więc dotyczyć np. większości kancelarii prawniczych czy praktyk leczniczych - ze względu na brak wystąpienia przesłanki przetwarzania danych osobowych na dużą skalę.

Przyjąć natomiast można, że do grupy tej kwalifikować mogą się m.in. następujące podmioty:

  • duże związki zawodowe;
  • dużych pracodawców, u których działają związki zawodowe zrzeszające dużą liczbę pracowników;
  • dużych przedsiębiorców dysponujących danymi biometrycznymi swoich pracowników - np. w zakresie systemów bezpieczeństwa stosowanych przez tych przedsiębiorców;
  • duże kancelarie prawne;
  • szpitale oraz inne duże placówki lecznicze;
  • przedsiębiorców prowadzących portale randkowe;
  • duże stowarzyszenia i fundacje dysponujące danymi dotyczącymi orientacji światopoglądowej, politycznej lub seksualnej zrzeszonych w nich członków.

Uwzględnienia wymaga, że w/w obowiązki dotyczyć będą nie tylko administratorów danych osobowych, ale także podmiotów przetwarzających dane osobowe na rzecz administratorów. Możliwa jest więc sytuacja, że w zakresie przetwarzania jednych konkretnych danych osobowych administrator tych danych nie będzie zobowiązany do wyznaczenia inspektora ochrony danych osobowych, podczas gdy na podmiocie przetwarzającym te dane w na rzecz takiego administratora obowiązek ten będzie już ciążył (np. na dużej agencji rekrutacyjnej prowadzącej rekrutację na rzecz drobnego przedsiębiorcy lub na banku udzielającym pożyczki przedsiębiorcy).

Podsumowując powyższe, każdy przedsiębiorca powinien sumiennie przeanalizować czy nie ciąży na nim obowiązek wyznaczenia inspektora ochrony danych osobowych. Zgodnie z nową ustawą o ochronie danych osobowych z dnia 10 maja 2018 r. obowiązek wyznaczenia inspektora ochrony danych należy spełnić co do zasady do 31 lipca 2018 r. O wyznaczeniu inspektora oraz jego danych poinformować należy ponadto Prezesa Urzędu Ochrony Danych Osobowych (również w terminie do 31 lipca 2018 r., nie później jednak niż w terminie 14 dni od wyznaczenia IOD).

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

RODO | Kancelaria prawna Poznań