skip to Main Content

Inspektor ochrony danych osobowcyh

Elementarz RODO
1. Co to są dane osobowe?
2. Przetwarzanie danych osobowych w rozumieniu RODO
3. Kiedy musisz stosować RODO?
4. ADO, czyli administrator danych osobowych
5. Podstawy przetwarzania danych osobowych
6. Zgoda na przetwarzanie danych osobowych
7. Dokumentacja wymagana przez RODO
8. Prawnie uzasadnione interesy realizowane przez administratora
9. Przetwarzanie danych osobowych w celach marketingowych
10. Przetwarzanie wrażliwych danych osobowych
11. Obowiązek informacyjny administratora danych osobowych
12. Inspektor ochrony danych osobowcyh
13. Powierzenie przetwarzania danych osobowych
  1. Co to są dane osobowe?
  2. Przetwarzanie danych osobowych w rozumieniu RODO
  3. Kiedy musisz stosować RODO?
  4. ADO, czyli administrator danych osobowych
  5. Podstawy przetwarzania danych osobowych
  6. Zgoda na przetwarzanie danych osobowych
  7. Dokumentacja wymagana przez RODO
  8. Prawnie uzasadnione interesy realizowane przez administratora
  9. Przetwarzanie danych osobowych w celach marketingowych
  10. Przetwarzanie wrażliwych danych osobowych
  11. Obowiązek informacyjny administratora danych osobowych
  12. Inspektor ochrony danych osobowcyh
  13. Powierzenie przetwarzania danych osobowych

RODO[1]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych przewiduje funkcję inspektora ochrony danych, którego administrator (lub podmiot przetwarzający) w określonych sytuacjach powinien powołać. Poniżej wyjaśniam kiedy powołanie inspektora ochrony danych jest obowiązkowe oraz kogo i jak powołać na to stanowisko, a także jakie stoją przed nim zadania.

Kiedy powołanie inspektora ochrony danych jest obowiązkowe?

Na szczęście powołanie inspektora ochrony danych osobowych w większości przypadków nie jest obowiązkowe. Zgodnie z art. 37 RODO, administrator oraz podmiot przetwarzający wyznaczają go, zawsze gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (dane odnoszące się do stanu zdrowia, orientacji itp.), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

W odniesieniu do przedsiębiorców są to więc tylko dwie sytuacje – określone w p. 2 i 3 powyżej. Interpretacja tych przepisów wiąże się jednak z wieloma trudnościami, w tym przede wszystkim z problemami interpretacyjnymi. Zostały w nich wykorzystane sformułowania, które nie zostały zdefiniowane w RODO. W konsekwencji, ciężko jest jednoznacznie stwierdzić co należy rozumieć przez „główną działalność”, „regularne i systematyczne monitorowanie”, czy „na dużą skalę”. Pewnych wskazówek interpretacyjnych dostarcza preambuła RODO. Jedną z nich można wskazać w p. 91, w którym wskazano, że „Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika”.

Z powyższych względów każdy przypadek powinien być oceniany odrębnie, biorąc po uwagę wszelkie okoliczności związane z przetwarzaniem danych osobowych przez administratora.

Kogo i jak wyznaczyć na inspektora ochrony danych?

RODO zawiera kilka wytycznych odnośnie tego, kto może zostać powołany na stanowisko administratora ochrony danych. Przede wszystkim powinien on być wyznaczony na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, które omówiłem poniżej.

Możliwe są dwa rozwiązania administracyjne – zatrudnienie osoby na to stanowisko (która stanie się członkiem personelu administratora), albo outsourcing, czyli zlecenie wykonywania zadań inspektora ochrony danych na podstawie umowy o świadczenie usług.

Dane kontaktowe inspektora ochrony danych powinny zostać opublikowane przez administratora i zawiadomić o nich Prezesa Urzędu Ochrony Danych Osobowych. Te dwa wymogi z RODO zostały rozwinięte i sprecyzowane w ustawie o ochronie danych osobowych. Zgodnie z nią:

  • o wyznaczeniu inspektora ochrony danych należy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora,
  • o każdej zmianie powyższych danych lub odwołaniu inspektora ochrony danych należy zawiadomić Prezesa Urzędu Ochrony Danych, również w terminie 14 dni,
  • wskazane powyżej dane inspektora ochrony danych należy udostępnić na stronie internetowej, a jeżeli podmiot, który wyznaczył Inspektowa, nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Rola i zadania inspektora ochrony danych

Inspektor ochrony danych powinien być wiodącą postacią w zakresie ochrony danych osobowych w przedsiębiorstwie podmiotu, przez który został powołany i brać udział we wszystkich sprawach z tego zakresu. Administrator powinien natomiast zapewnić inspektorowi wszelkie wsparcie niezbędne do realizacji jego zadań, w tym pełny dostęp do danych osobowych i operacji przetwarzania. Co więcej, pozycja inspektora ochrony danych powinna być samodzielna i może on podlegać jedynie najwyższemu kierownictwu administratora. Nie może być również związany żadnymi instrukcjami, ani karany za działania podejmowane w ramach wykonywania swoich zadań. Chodzi o to, żeby nic nie stało mu na przeszkodzie w realizowaniu dyrektyw RODO.

Osoby, których dane są przetwarzane, powinny mieć możliwość bezpośredniego kontaktu z inspektorem we wszystkich sprawa związanych z ich danymi (w tym w związku z wykonywaniem ich praw przewidzianych w RODO).

RODO nakłada na inspektora ochrony danych obowiązek zachowania poufności co do wykonywanych zadań. Inspektor może wykonywać również inne obowiązki w firmie, ale administrator powinien zorganizować to w taki sposób, żeby nie powstawały żadne konflikty interesów.

RODO przewiduje pięć kategorii zadań realizowanych przez inspektora ochrony danych:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;
  4. współpraca z organem nadzorczym (w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych);
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Powyższe zadania powinny być wykonywane przez inspektora ochrony danych z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, a także charakteru, zakresu, kontekstu i celów przetwarzania.

Przypisy

Przypisy
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych
Tomasz Korolko

Partner

Back To Top