(+ 48) 22 463 47 70

Artykuł

Czy musisz powoływać inspektora ochrony danych osobowych?

Czy musisz powoływać inspektora ochrony danych osobowych?

25 maja wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), czyli w skrócie “RODO”. Jedną z nowych rzeczy jest instytucja inspektora ochrony danych (w miejsce administratora bezpieczeństwa informacji, choć to bardzo duże uproszczenie). Powołanie inspektora ochrony danych w większości przypadków będzie jednak nieobowiązkowe. Unijny ustawodawca przewidział bowiem tylko trzy sytuacje, w których administrator danych osobowych (lub podmiot przetwarzający) wyznaczają inspektora ochrony danych. Jest to konieczne, gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (dane odnoszące się do stanu zdrowia, orientacji itp.), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W odniesieniu do przedsiębiorców są to tylko dwie sytuacje – zastosowanie mają jedynie p. 2 i 3 Interpretacja tych przepisów wiąże się jednak z wieloma trudnościami, w tym przede wszystkim z problemem interpretacyjnym. Zostały w nich wykorzystane sformułowania, które nie zostały zdefiniowane w RODO. W konsekwencji, dopóki nie wykształci się praktyka organów zajmujących się ochroną danych osobowych w poszczególnych krajach Unii Europejskiej, nie można jednoznacznie stwierdzić co należy rozumieć przez “główną działalność”, “regularne i systematyczne monitorowanie”, czy “na dużą skalę”. Podejrzewam, że jeszcze przez wiele lat po wejściu w życie RODO, nie wykształcą się żadne definicje, które miały by powszechne zastosowanie.

Pewnych wskazówek interpretacyjnych dostarcza preambuła RODO. Jedną z nich można wskazać w p. 91, w którym wskazano, że “Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika”.

Tomasz Korolko
radca prawny