Inspektor Ochrony Danych (IOD), to pojęcie dla organizacji przetwarzających dane osobowe było dotychczas dobrze znane jako „ABI” (administrator bezpieczeństwa informacji). Jednak od maja 2018 r. dla wielu podmiotów wyznaczenie IOD będzie obowiązkowe w ramach ogólnego rozporządzenia o ochronie danych (RODO) – niezależnie od wielkości firmy, instytucji, czy organizacji.
Zanim jednak podmioty te (dalej określane jako administratorzy danych) powołają swoich Inspektorów Ochrony Danych przybliżamy, kto może zostać Inspektorem, jakie są jego zadania i czy każdy administrator danych będzie zmuszony do posiadania Inspektora.
Kto jest zobowiązany do wyznaczenia Inspektora?
W ramach RODO istnieją trzy główne scenariusze, w których obowiązuje wymóg wyznaczenia IOD przez administratora danych:
- przetwarzanie jest przeprowadzane przez organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości),
- podstawowa działalność administratora danych polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania na dużą skalę osób, których dane te dotyczą, lub
- główna działalność administratora danych polega na przetwarzaniu na dużą skalę danych wrażliwych (np. o stanie zdrowia, nałogach) lub danych dotyczących wyroków skazujących/wykroczeń.
Wyznaczanie IOD – wskazówki
To, czy należy wyznaczyć IOD, zależy od skali i zakresu operacji przetwarzania danych i czy są one objęte zakresem wymienionym powyżej. Regulacja powyżej zawiera przynajmniej 3 pojęcia, które wymagają dookreślenia, a które są kluczowe dla ustalenia, jakich podmiotów ona dotyczy: główna działalność, duża skala, regularne i systematyczne monitorowanie.
Poniżej prezentujemy wskazówki Grupy Roboczej Art. 29, która jest niezależnym europejskim organem doradczym Komisji Europejskiej w zakresie ochrony danych osobowych i prywatności. Jej wytyczne brane są pod uwagę między innymi przez Generalnego Inspektora Ochrony Danych Osobowych w ramach działalności orzeczniczej. Warto więc mieć je na względzie.
Główna działalność
Za „główną działalność” należy uznać takie przetwarzanie, które stanowi podstawową część kluczowych operacji, które „tworzą nierozerwalną część działalności administratora”, czyli gdy działalność podmiotu będzie praktycznie niemożliwa bez przetwarzania danych osobowych.
Obejmuje to na przykład szpitale i placówki lecznicze, których główna działalność polega na zapewnianiu opieki medycznej, jednak jest to bezpośrednio związane z koniecznością przetwarzania danych osobowych pacjentów. Bez tego wykonywanie działalności szpitali byłoby niemożliwe. Dodatkowo placówki lecznicze są zobowiązane prowadzić dokumentację medyczną (zawierającą dane osobowe pacjentów), nie ma więc wątpliwości, że czynności przetwarzania danych osobowych są związane z prowadzeniem opieki medycznej.
Duża Skala
Zalecamy, aby organizacje uwzględniały szereg czynników przy określaniu, czy ich przetwarzanie ma dużą skalę. Określenie to obejmuje:
- liczbę zainteresowanych osób, których dane dotyczą,
- zakres przetwarzanych danych osobowych – im szerszy zakres, tym większa szansa na przetwarzanie danych na dużą skalę,
- czas, przez jaki dane są przetwarzane,
- geograficzny zakres przetwarzania danych osobowych.
Przetwarzanie danych na dużą skalę nie musi oznaczać wyłącznie operacji na danych dużej liczby osób. Może się zdarzyć, że sama liczba osób, których dane są przetwarzane jest niewielka, jednak sposób przetwarzania, zakres i charakter danych spowodują, że operacje te zostaną zaliczone do „dużej skali”.
Na powyższym przykładzie, przetwarzanie danych osobowych w szpitalach i przychodniach będzie kwalifikowało się do hasła „na dużą skalę”. Jedynym wyjątkiem w tym obszarze są lekarze prowadzący indywidualną praktykę. Tylko w ich przypadku zakładane jest, że nie będą oni przetwarzali danych „na dużą skalę”.
Regularne i systematyczne monitorowanie
Przetwarzanie tego typu „obejmowałoby wszystkie formy śledzenia i profilowania w internecie, w tym w celu reklamy behawioralnej”. Warto pamiętać, że ten rodzaj monitorowania nie jest ograniczony do środowiska online i może obejmować również działanie poza siecią internetową.
„Regularne” monitorowanie interpretowane jest jako:
- ciągłe lub występujące w określonych przedziałach czasu przez określony okres;
- powtarzające się w stałych odstępach czasu lub
- odbywające się stale lub okresowo.
Natomiast „systematyczne” monitorowanie interpretowane jest jako:
- występujące zgodnie z określonym systemem;
- wstępnie zorganizowane lub metodyczne;
- odbywające się w ramach ogólnego planu zbierania danych lub realizowane w ramach strategii.
Jeśli organizacja przeprowadza rodzaje czynności związanych z przetwarzaniem, wymienione powyżej, wówczas będzie ona musiała wyznaczyć Inspektora Ochrony Danych w ramach RODO.
Czym zajmuje się Inspektor Ochrony Danych?
RODO wymaga wyznaczenia Inspektora na podstawie kwalifikacji zawodowych, a w szczególności wiedzy eksperckiej z zakresu prawa i praktyki w zakresie ochrony danych, takich jak znajomość krajowych i europejskich przepisów o ochronie danych, zrozumienie procesów przetwarzania itp.
Do zadań IOD należą:
- informowanie firmy i jej pracowników, którzy dokonują przetwarzania danych, o spoczywających na nich zobowiązaniach i doradzanie im w tej sprawie,
- monitorowanie zgodności działań firmy z RODO, a także z obowiązującymi w organizacji politykami w zakresie ochrony danych osobowych (w tym szkolenia personelu i powiązane z tym audyty),
- doradztwo w zakresie oceny oddziaływania na ochronę danych w organizacji,
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,
- pełnienie funkcji punktu kontaktowego dla organu nadzorczego, oraz osób, których dane dotyczą,
- prowadzenie rejestru czynności lub rejestru kategorii czynności,
- informowanie, doradzanie i wydawanie zaleceń dla administratora danych.
Co powinny zrobić organizacje?
Pomimo tego, że mianowanie IOD może wydawać się ciężarem, w rzeczywistości może być korzystne. Inspektor Ochrony Danych ułatwia przestrzegania obowiązków związanych z ochroną danych. Uzyskanie zgodności z prawem i wykazanie, że spełniamy wymagania postawione przez RODO, mogą dać przewagę konkurencyjną, umożliwiając rozwój relacji zaufania zarówno wewnętrznie (z pracownikami), jak i zewnętrznie (z klientami, pacjentami lub dostawcami).
Organizacje powinny ocenić swoje działania związane z przetwarzaniem danych, aby zrozumieć, czy wymagane jest przez nie powołanie Inspektora. Funkcje tę można wypełnić w ramach wewnętrznych zasobów, albo zatrudnić do tego zewnętrznego eksperta, który całościowo zadba o obszar ochrony danych osobowych. Organizacje, których nie obejmuje obowiązek powołania IOD, mają w tym względzie dowolność. Zalecamy jednak pamiętać, że w dalszym ciągu obowiązywać je będą te same wymagania i konsekwencje wynikające z przepisów RODO.
Jeśli chcesz porozmawiać z członkiem naszego zespołu o naszych usługach ochrony danych osobowych, napisz do nas biuro@jamano.pl lub zadzwoń +48 570 926 788, aby dowiedzieć się, jak możemy Ci pomóc.