Ochrona danych osobowych

Inspektor ochrony danych – kto powinien go wyznaczyć, a także jakie są jego obowiązki (część I.)

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO) powołało do życia nową instytucję – inspektora ochrony danych (IOD).

IOD ma pełnić wobec administratora lub wobec podmiotu przetwarzającego funkcję konsultacyjną, doradczą, a w pewnych sytuacjach także kontrolną. Nie odpowiada, natomiast, za zgodność przetwarzania danych osobowych z obowiązującymi przepisami (w tym z RODO) u danego podmiotu. Odpowiedzialność w tym zakresie spoczywa na kierownictwie tego podmiotu i nie można jej scedować. W konsekwencji, nie należy powierzać IOD zadania wdrożenia RODO. Bardziej prawidłowym rozwiązaniem będzie wyznaczenie innej osoby do podjęcia związanych z tym czynności i umożliwienie IOD udziału w tych czynnościach.

Obowiązek wyznaczenia inspektora ochrony danych.

Zgodnie z art. 37 ust. 1 RODO, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

W innych przypadkach, niż wskazane powyżej, wyznaczenie IOD jest dobrowolne. Jeśli jednak administrator/podmiot przetwarzający zdecyduje się na wyznaczenie IOD, mimo braku obowiązku, do pełnienia tej funkcji zastosowanie będą znajdowały przepisy RODO.

Grupa przedsiębiorstw może wyznaczyć jednego IOD, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego IOD.

Niezbędne kwalifikacje inspektora ochrony danych.

W myśl art. 37 ust 5 RODO, IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia powierzonych mu zadań.

Przytoczony przepis nie wskazuje żadnych obiektywnych kryteriów, które należy spełnić, aby móc pełnić obowiązki IOD (np. ukończenie odpowiednich studiów, uprzednie sprawowanie określonej funkcji przez określony czas). Trudności w skonkretyzowaniu tych kryteriów sprawiły, że niektóre państwa Unii Europejskiej, np. Niemcy, skorzystały z możliwości wprowadzenia przepisów krajowych, precyzujących wymagania stawiane IOD. Polski ustawodawca nie zdecydował się na wykonanie takiego kroku.

Prawidłowa realizacja obowiązków IOD wymaga posiadania wiedzy z różnych dziedzin. Oprócz znajomości przepisów prawa dotyczących ochrony danych osobowych (zarówno europejskich, jak i krajowych), IOD powinien w szczególności legitymować się znajomością zasad funkcjonowania systemów teleinformatycznych, w tym sposobów ich zabezpieczania. Inspektor powinien także być zorientowany w specyfice sektora, w którym działa administrator/podmiot przetwarzający, a także mieć wiedzę na temat działalności samego administratora/podmiotu przetwarzającego, w tym w zakresie jego organizacji, księgowości, marketingu, zasad zarządzania zasobami ludzkimi.

Oczywiście, poziom kwalifikacji IOD musi odpowiadać charakterowi, skomplikowaniu i ilości danych przetwarzanych przez administratora/ podmiot przetwarzający.

Wyznaczenie inspektora ochrony danych. 

Inspektorem ochrony danych może być wyłącznie osoba fizyczna.

Może to być zarówno pracownik administratora/podmiotu przetwarzającego, jak i osoba z nimi współpracująca w oparciu o umowę cywilnoprawną. Nie ma też przeszkód, aby pełnienie funkcji inspektora ochrony danych powierzyć osobie spoza struktury administratora/podmiotu przetwarzającego (outsourcing IOD). RODO pozostawia w tym zakresie pełną swobodę.

Przepis art. 37 ust. 6 RODO nakłada na administratora/podmiot przetwarzający obowiązek opublikowania danych IOD oraz zawiadamiania o nich organu nadzorczego. Zgodnie z art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, podmiot, który wyznaczył IOD, zawiadamia Prezesa Urzędu Ochrony Danych o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

W przypadku zmiany danych osoby pełniącej funkcję IOD, jak również w przypadku zmiany osoby wyznaczonej do pełnienia tej funkcji, konieczne jest opublikowanie nowych danych oraz zawiadomienie o zmianach organu nadzorczego. W myśl art. 10 ust. 4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, zawiadomienie powinno nastąpić w terminie 14 dni od dnia zaistnienia zmiany lub odwołania dotychczasowego IOD.

W kolejnym wpisie opiszemy pozycję inspektora ochrony danych w strukturze administratora/podmiotu przetwarzającego, a także wskażemy, jakie obowiązki na nim spoczywają.

Autor: adwokat Ewelina Mierzwicka

Facebook