Made with
Website Building SoftwareCelem tego opracowania jest pogrążenie mitów dotyczących obowiązku wyznaczenia Inspektora Ochrony Danych.
Warunki obowiązkowego wyznaczenia Inspektora Ochrony Danych
Przykłady, jakie podmioty obowiązkowo powinny wyznaczyć Inspektora Ochrony Danych
Przyczyny, dla których warto dobrowolnie wyznaczać Inspektora Ochrony Danych
Celem tego opracowania jest pogrążenie mitów dotyczących obowiązku wyznaczenia Inspektora Ochrony Danych (zwany dalej „IOD”). Po lekturze czytelnik powinien wiedzieć, czy w jego organizacji powinien być IOD; czy w organizacjach, z którymi współpracuje powinien być IOD oraz dlaczego zdarza się, że organizacje nie zobowiązane do wyznaczenia Inspektora, decydują się na taki krok.
Skupiam się na tym, ponieważ #EROD (skrót od Europejska Rada Ochrony Danych – przypomnienie autora) wybrała pod koniec 2021 r. zagadnienie wyznaczenia i pozycji inspektora ochrony danych jako temat drugiego skoordynowanego działania w zakresie egzekwowania prawa. Jeśli brzmi skomplikowanie to już wyjaśniam. Otóż to "jasna i czytelna" informacja, dla tych podmiotów, które po mimo wymogu prawnego, jeszcze nie wyznaczyły Inspektora Ochrony Danych. Była to też wskazówka dla organizacji z wyznaczonym Inspektorem, że trzeba sprawdzić sposób realizacji jego obowiązków.
Efektem tego jest „weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych” prowadzona przez UODO od końca marcu ub. r. z wykorzystaniem listy 27 pytań do Administratora, vide: https://archiwum.uodo.gov.pl/pl/138/2336.
Dlatego te opracowanie kieruję do osób, które prawnie (Członek Zarządu) lub służbowo (CIO/CISO/Compliance Officer) odpowiadają za ochronę danych. Te opracowanie kieruję do tych, którzy nadal nie sporządzili notatki służbowej w sprawie nie wyznaczenia lub wyznaczenia Inspektora. Te opracowanie kieruję też do tych, którzy nie przeprowadzili oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą, a twierdzą, że „mają wdrożone RODO”.
RODO ściśle określa, kiedy wyznaczenie IOD-a jest obowiązkowe. Zatem liczba takich sytuacji będzie również ściśle ograniczona, nie będzie duża w stosunku do liczby wszystkich Administratorów. Jednak z uwagi na liczbę obowiązków wynikających z RODO, są sytuacje, kiedy wyznaczenie Inspektora Ochrony Danych choć dobrowolne i nie obowiązkowe, jest wskazane.
Dlatego przeanalizuję:
a) warunki obowiązkowego wyznaczenia Inspektora;
b) przykłady, jakie podmioty obowiązkowo powinny wyznaczyć Inspektora;
c) przyczyny, dla których warto dobrowolnie wyznaczać Inspektora, pomimo braku obowiązku - do tego zachęca EROD.
W tym celu skorzystam z treści art. 37 RODO i wytycznych Grupy Roboczej art. 29 (obecnie Europejska Rada Ochrony Danych) pt. „Wytyczne dotyczące inspektorów ochrony danych, WP243 rev.01”.
Wspominamy art. 37 RODO określa 3 warunki obowiązkowego wyznaczenia IOD-a. Pierwszy to obowiązek organów lub podmiotów publicznych do powołania IOD-a. Wyjątek stanowią sądy „w zakresie sprawowania przez nie wymiaru sprawiedliwości”. RODO nie podaje definicji organów lub podmiotów publicznych. Grupa Robocza stanęła na stanowisku, że to pojęcie powinno zostać zdefiniowane w ustawodawstwie krajowym. Wytyczne wskazują np. definicje terminów „organ sektora publicznego” i „podmiot prawa publicznego” zawarte w art. 2 pkt 1 i 2 dyrektywy 2003/98/WE parlamentu Europejskiego i Rady z dnia 17 listopada 2003 r. w sprawie ponownego wykorzystania informacji sektora publicznego. Co by nie pisać, za organy i podmioty publiczne uznaje się organy na szczeblu krajowym, regionalnym i lokalnym. Ponad to zgodnie z przepisami krajowymi pojęcie to oznacza również inne podmioty podlegające przepisom prawa publicznego (vide art 2 pkt 1 i 2 dyrektywy 2003/98/WE).
Wykonywanie interesu publicznego lub sprawowanie władzy może należeć do zadań osób fizycznych lub prawnych podlegających przepisom w takich sektorach, jak: transport publiczny, zaopatrzenie w wodę i energię, infrastruktura drogowa, publiczna działalność nadawcza, mieszkalnictwo publiczne, nadzór nad prawidłowością wykonywania zawodów regulowanych. Mamy wówczas do czynienia sytuacją podobną do tej, w której dochodzi do przetwarzania danych osobowych przez organy lub podmioty publiczne. Wtedy osoby, których dane dotyczą, mają jednak mały wpływ na to, w jaki sposób ich dane będą przetwarzane lub w ogóle nie mają na to wpływu. Z tego wynika, że organy lub podmioty publiczne rozumiane są, w kontekście RODO, w szerszym sensie.
Jednak jest to dopiero pierwszy warunek z art. 37 RODO, w dodatku dotyczy tylko „sektora publicznego”. Z danych opublikowanych w Sprawozdaniu z działalności Prezesa UODO w roku 2021 r. wynika, że na ponad 8300 skarg (to prawie 35 skarg na każdy dzień roboczy), które wpłynęły do UODO przez 12 miesięcy zeszłego roku, niecałe 17% dotyczyło „sektora publicznego”. Pozostałe skargi rozkładały się następująco: 3486 skarg na podmioty sektora prywatnego 1445 skarg na podmioty sektora zdrowia, zatrudnienia i szkolnictwa; 1833 skargi na podmioty sektora finansowego, ubezpieczeń i telekomunikacji; 142 skargi na podmioty sektora transgranicznego.
Dlatego pozostałe dwa warunki obowiązkowego wyznaczenia IOD-a mogą znaleźć zastosowanie dla podmiotów prywatnych, szczególnie tych, które do tej pory nie wyznaczyły Inspektora Ochrony Danych. Wyznaczenie IOD-a w podmiocie prywatnym jest obowiązkowe, kiedy „główna działalność” Administratora polega na przetwarzaniu wymagającym „(...) regularnego i systematycznego monitorowania osób (…) na dużą skalę (...)”.
Motyw 97 do RODO (motywy do RODO to takie uzasadnienie, po co są dane przepisy w RODO – przyp. Autora) wskazuje, że „przetwarzanie danych osobowych jest główną działalnością administratora, jeśli oznacza jego zasadnicze, a nie poboczne czynności”. Innymi słowy są to takie operacje, bez których administrator czy podmiot przetwarzający nie osiągną swoich celów biznesowych. Zgodnie z RODO bierze się pod uwagę kontekst działania Administratora, żeby uwzględnić również te czynności przetwarzania, które są nieodłączną częścią działalności Administratora lub podmiotu przetwarzającego, a nie stanowią jego głównej działalności.
Przykładem przywołanym w wytycznych Grupy Roboczej jest prywatna firma ochroniarska. Jej główną działalnością jest sprawowanie nadzoru nad centrami handlowymi i obiektami publicznymi. Jednak wykonywanie tej działalności wiąże się z koniecznością przetwarzania danych osobowych. Stąd obowiązek takiej firmy wyznaczenia IOD-a.
Innym przykładem jest Klinika Medyczna, której główną działalnością jest świadczenie usług w zakresie opieki medycznej. Klinika może świadczyć usługi, jeśli przetwarza dokumentację medyczną. Dlatego przetwarzanie takiej dokumentacji zalicza się do „głównej działalności”.
Dokument Grupy Roboczej Art. 29 WP 243 „(...) definiuje „regularne” jako jedno lub więcej z następujących pojęć:
1. Stałe albo występujące w określonych odstępach czasu przez ustalony okres;
2. Cykliczne albo powtarzające się w określonym terminie;
3. Odbywające się stale lub okresowo.
Grupa Robocza Art. 29 w swoich wytycznych definiowała „systematyczne” jako jedno lub więcej z następujących pojęć:
1. Występujące zgodnie z określonym systemem;
2. Zaaranżowane, zorganizowane lub metodyczne;
3. Odbywające się w ramach generalnego planu zbierania danych;
4. Przeprowadzone w ramach określonej strategii.”
Dalej Grupa Robocza wymienia przykłady działań, które mogą stanowić „regularne i systematyczne monitorowanie osób”, wśród nich są:
- działania marketingowe oparte na danych;
- ocena ryzyka kredytowego kontrahenta;
- zapobieganie oszustwom;
- śledzenie lokalizacji;
- programy lojalnościowe;
- monitoring wizyjny,
- reklama behawioralna;
- monitorowanie samopoczucia, parametrów fizycznych i danych dot. stanu zdrowia za pomocą urządzeń noszonych na ciele;
- urządzenia podłączane na stałe do Internetu, jak inteligentne liczniki czy samochody.
Dlatego firmy ubezpieczające transakcje finansowe, wypożyczające auta lub inne środki transportu powinny rozważyć wyznaczenie IOD-a.
Natomiast, jak podaje Grupa Robocza Art. 29, „(...) Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”(...)”. Dlatego zalecenie jest takie, żeby do ustalenia czy mamy do czynienia z „dużą skalą” uwzględnić następujące rzeczy:
1. „Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
2. Zakres przetwarzanych danych osobowych;
3. Okres, przez jaki dane są przetwarzane;
4. Zakres geograficzny przetwarzania danych osobowych”
Motyw 91 RODO daje pewne wskazówki w tym temacie. Po pierwsze pojęcie „dużej skali” obejmuje w szczególności „operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą mieć wpływ na dużą liczbę osób oraz mogą powodować duże ryzyko”. Już przy przetwarzaniu „znacznej ilości danych, na szczeblu regionalnym”, można to zakwalifikować jako „dużą skalę”. Z drugiej strony w motywie tym wskazano, że „przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na „dużą skalę”, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika”.
Przykładem przetwarzania „na dużą skalę” jest przetwarzanie danych:
- pacjentów przez szpital;
- klientów przez zakład ubezpieczeń lub bank;
- przez dostawców usług telefonicznych lub internetowych.
Przykłady przetwarzania, które nie są na „dużą skalę”, to przetwarzanie danych:
- pacjenta przez pojedynczego lekarza;
- dotyczących wyroków skazujących i naruszeń prawa przez pojedynczego prawnika.
Jak zauważają autorzy „Wytycznych dot. inspektora ochrony danych” motyw 91 pokazuje skrajne przykłady, tj, przetwarzanie ponadnarodowe w zestawieniu z pojedynczym lekarzem. Trzeba jednak pamiętać, że pomiędzy tymi skrajnościami występuje wiele niejednoznacznych sytuacji, więc ocena czy wyznaczyć IOD-a powinna być indywidualna.
Tak samo jak indywidualne są decyzje administracyjne wydawane przez Prezesa UODO. Tylko w 2021 r. każdego dnia roboczego Prezes wydawał średnio 8 decyzji (2082 decyzje w całym 2021 r.). Decyzje te dotyczyły takich spraw, jak:
- upomnienie dla osoby fizycznej prowadzącej działalność gospodarczą za naruszenie polegające na niezapewnieniu Prezesowi UODO dostępu do danych osobowych i informacji niezbędnych do realizacji jego zadań;
- Decyzja Prezesa UODO nakładająca na Fundację … administracyjną karę pieniężną za niezgłoszenie organowi nadzorczemu naruszenia ochrony danych osobowych bez zbędnej zwłoki oraz niezawiadomieniu o incydencie osób, których dane dotyczą;
- Decyzja Prezesa UODO stwierdzająca naruszenie polegające na doborze nieskutecznych zabezpieczeń systemu informatycznego oraz braku odpowiedniego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych.
Stąd aktywność Urzędu zarówno wobec dużych, jak i małych podmiotów, na którą należy zwrócić uwagę.
Ostatnim warunkiem obowiązkowego wyznaczenia „mistrza IOD-a” jest sytuacja, w której „główna działalność Administratora lub podmiotu przetwarzającego polega na przetwarzaniu na duża skalę szczególnych kategorii danych osobowych oraz danych osobowych dot. wyroków skazujących i naruszeń prawa. Czym jest „główna działalność” i przetwarzanie na dużą skalę” opisaliśmy wcześniej.
Motyw 10 RODO nazywa szczególne kategorie danych osobowych „danymi wrażliwymi”. Są to dane ujawniające „(...) pochodzenie rasowe lud etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych (…) lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej. Co do zasady RODO zabrania przetwarzania „danych wrażliwych” (art. 9 RODO). Jednak art. 9 ust. 2 RODO podaje 10 odstępstw od tej zasady. Wiele organizacji z tzw. III filaru, czyli fundacje, stowarzyszenia przetwarzają tzw. „dane wrażliwe” na „duża skalę”.
Przepis art. 37, ust. 1 lit. c) RODO przywołuje dane osobowe dot. wyroków skazujących i naruszeń prawa, które opisane są w art. 10 RODO. Dlatego nawet małe przedsiębiorstwo zatrudniające zgodnie z prawem tzw. „osadzonych” (potocznie zwanych więźniami – przyp. autora) może mieć obowiązek wyznaczenia IOD-a, jeśli przetwarzanie jest na „duża skalę”. Choć w przywołanym przepisie, tj. art. 37, ust. 1, lit. c) występuje słowo „oraz”, to zgodnie z wytycznymi mamy traktować jej jak słowo „lub”, zgodnie z jego znaczeniem logicznym.
Jeśli istnieją wątpliwości co do konieczności wyznaczenia IOD-a, to Grupa Robocza art. 29 (obecnie Europejska Rada Ochrony Danych) w swoim dokumencie WP 243 zaleca, aby: „(...) W sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO (czyt. IOD-a, przyp. autora), GR Art. 29 zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia DPO, celem wykazania, iż stosowne czynniki zostały uwzględnione. Ta procedura powinna zostać częścią dokumentacji tworzonej zgodnie z zasadą rozliczalności (...)”.
Jak zaznacza Grupa Robocza Art. 29 w dokumencie WP 243 „(...) Artykuł 37(2) stanowi, iż grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile „można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej”.
W sytuacji, w której podmiot dobrowolnie decyduje się na wyznaczenie DPO, wymagania wskazane w artykułach 37 - 39 stosuje się odpowiednio do jego wyznaczenia, statusu i zadań, tak jakby wyznaczenie było obowiązkowe.
Podmiot, który nie jest zobowiązany przepisami prawa do wyznaczenia inspektora ochrony danych i nie zamierza dobrowolnie wyznaczać takiego inspektora, może wyznaczyć pracownika, albo zatrudnić zewnętrznego specjalistę do wypełniania zadań związanych z ochroną danych osobowych. W przypadku wyznaczenia takiej osoby ważne jest, żeby nazwa stanowiska, status pracownika, pozycja i zadania były jasno i czytelnie zakomunikowane innym osobom. Dlatego zaleca się poinformowanie pracowników, jak również organów ochrony danych, osób, których dane dotyczą, że osoba zatrudniona nie jest Inspektorem Ochrony Danych.
Zgodnie z metodą oceny zgodności z RODO opracowaną przez ENISA jest ponad 120 zadań do wykonania, żeby zapewnić zgodność z RODO. Czym większa skala przetwarzania lub ryzyko naruszenia ochrony danych, tym większa pracochłonność wynikająca z tych zadań. Dlatego warto na tej podstawie ocenić, czy należy zaangażować osobę specjalizująca się w ochronie danych, do wykonania skomplikowanych lub czasochłonnych zadań, jak np. obsługa naruszenia ochrony danych. Szczególnie, że w 2021 r. UODO odnotował 12 946 zgłoszeń naruszeń, co było sporym wzrostem w stosunku do 2020 r., kiedy wpłynęło ponad 7,5 tysiąca zgłoszeń naruszeń. Przy czym obsługa takiego zdarzenia wymaga utrzymania stałej i profesjonalnej komunikacji z UODO, a w uzasadnionych przypadkach wymaga podjęcia aktywnego informowania osób, których dane są objęte naruszeniem o konsekwencjach zdarzenia. Stąd lista zadań nakłada dużo pracy w takiej sytuacji.
Niezależnie od tego czy osoba odpowiedzialna za ochronę danych zostanie wyznaczona na IOD-a, to jej kompetencje można wykorzystać po to, żeby:
- skupić się na marketingu bezpośrednim na podstawie prawnie uzasadnionego interesu, zwiększając w ten sposób sprzedaż;
- zwiększyć poczucie bezpieczeństwa Klientów i kontrahentów;
- racjonalizować wydatki na środki ochrony danych osobowych.
Podsumowując obowiązek wyznaczenia IOD-a jest wtedy, jeśli spełniamy poniższe warunki:
1. Dane są przetwarzane przez organy lub podmioty publiczne.
2. Główna działalność polega na przetwarzaniu danych:
a) regularnie
b) systematycznie
c) na duża skalę
3. Główna działalność polega na przetwarzaniu na dużą skalę:
a) danych „wrażliwych”;
lub
b) danych dot. wyroków skazujących i naruszeń prawa.
Inspektora wyznaczamy unikając konfliktu interesów. Dlatego zaleca się, aby nie powierzać roli Inspektora Ochrony Danych: szefom działów IT lub głównym informatykom, radcom; adwokatom, którzy jednocześnie świadczą obsługę prawną dla hotelu w zakresie zgodności ochrony danych z przepisami prawa; szefom działów kadr lub marketingu oraz członkom najwyższego kierownictwa.
Inspektora wyznaczamy dobrowolnie, wtedy kiedy nakład pracy i inwestycja w zgodność z RODO jest mniejsza niż konsekwencje ryzyka naruszenia ochrony danych lub utraty zaufania Klienta z powodu braku ochrony jego danych. Trzeba wtedy pamiętać o dopełnieniu obowiązków wynikających z art. 37 – 39 RODO. Niezależnie od tego, czy IOD-a został wyznaczony czy nie, to na Administratorze spoczywa obowiązek przygotowania notatki na ten temat.
Powtórzmy, Administrator ma ponad 120 zadań do wykonania, żeby zapewnić zgodność z RODO. Czym większa skala przetwarzania lub ryzyko naruszenia ochrony danych, tym większa pracochłonność wynikająca z tych zadań.
Jeśli z tego opracowania wynika, że nie ma obowiązku wyznaczenia IOD-a, to warto rozważyć zaangażowanie do konkretnych zadań osoby specjalizujące się w ochronie danych, bez wyznaczania ich na stanowisko IOD-a i angażowania na pełen etat.
Made with
Website Building Software