Jeżeli w toku swojej działalności masz styczność z danymi osobowymi innych osób (np. klientów), z pewnością słyszałeś o unijnym rozporządzeniu o ochronie danych osobowych, czyli RODO, które zaczęło obowiązywać 25 maja 2018 r. Akt ten wprowadził i zaktualizował wiele rozwiązań w dziedzinie danych osobowych – jednym z nich jest możliwość (a w pewnych przypadkach obowiązek) wyznaczenia Inspektora Ochrony Danych (IOD; spotykany jest też angielski skrót DPO od Data Protection Officer), którego zadaniem jest zapewnienie przestrzegania przez dany podmiot przepisów o ochronie danych osobowych.

Seria artykułów o RODO:

  1. Zasady i fundamenty systemu ochrony danych osobowych zgodnie z RODO
  2. Inspektor Ochrony Danych pod RODO – kim jest i czy trzeba go wyznaczyć?
  3. Umowy powierzenia pod RODO – gdy udostępniasz dane osobowe
  4. Pakiety RODO do kupienia
  5. eBook: RODO w pigułce dla branży kreatywnej
  6. Zasady privacy by default i privacy by design – do czego zobowiązują?
  7. Kiedy i jak usuwać dane osobowe zgodnie z RODO? – poradnik
  8. Chatboty i RODO – wszystko, co musisz wiedzieć
  9. RODO dla fotografa – pytania i odpowiedzi

 

Z treści dzisiejszego artykułu dowiesz się:

  1. Kto może, a kto musi wyznaczyć IOD.
  2. Jakie obowiązki informacyjne ciążą na administratorze.
  3. Na jakiej podstawie można zatrudniać IOD.
  4. Jakie są zadania IOD.
  5. Jakie obowiązki ma administrator względem IOD.

Kiedy trzeba wyznaczyć IOD

RODO wymienia 3 grupy podmiotów, które mają obowiązek wyznaczenia IOD, a także daje możliwość poszerzenia tego katalogu na mocy prawa państw członkowskich UE.

Polski prawodawca w ustawie o ochronie danych osobowych przyjętej w związku z RODO nie skorzystał z tej możliwości, zatem obowiązek ten spoczywa administratorze (podmiocie, który ustala cele i sposoby przetwarzania danych osobowych) i podmiocie przetwarzającym (takim, który przetwarza dane w imieniu administratora) zawsze, gdy:

  • przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO (np. danych medycznych), lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Punkty 1 i 3 dotyczą głównie podmiotów państwowych lub wykonujących funkcje publiczne, dlatego powinieneś zwrócić uwagę przede wszystkim na punkt 2. Zawiera on kilka pojęć niedookreślonych, które zostaną omówione poniżej:

  • “główna działalność”– przetwarzanie danych osobowych jest taką działalnością, gdy obejmuje zasadnicze, a nie poboczne czynności administratora. Warunek ten jest spełniony także wtedy, gdy przetwarzanie jest niezbędne do wykonywania działalności głównej (np. gdy wymaga tego każda oferowana usługa);
  • “regularne i systematyczne monitorowanie osób” – pod tym pojęciem kryje się przede wszystkim śledzenie ludzkiej aktywności w Internecie oraz profilowanie, ale także inne działania monitorujące;
  • “duża skala”– przesłanka ta zawsze musi być oceniana w odniesieniu do konkretnego przypadku, przy wzięciu pod uwagę kryteriów takich jak liczba osób, których danych dotyczy przetwarzanie, zakres przetwarzanych danych, okres przetwarzania oraz zasięg terytorialny działalności.

Jeżeli nie należysz do żadnej z 3 wymienionych kategorii podmiotów, nie masz obowiązku wyznaczać IOD. Musisz jednak pamiętać, że wszystkie obowiązki związane z przetwarzaniem danych osobowych będziesz wtedy musiał wykonywać sam. Pomoc Inspektora może okazać się nieoceniona, dlatego warto rozważyć, czy oszczędność na jego zatrudnieniu przeważy nad kosztami niedopełnienia prawnych obowiązków.

Obowiązki informacyjne związane z wyznaczeniem IOD

Wyznaczenie Inspektora Ochrony Danych, niezależnie czy było to obowiązkowe, czy nie, wiąże się z koniecznością zgłoszenia tego faktu Prezesowi Urzędu Ochrony Danych Osobowych (PUODO) w ciągu 14 dni od dokonania tej czynności.

Zgłoszenie takie zawiera:

  • dane Inspektora – imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu,
  • dane administratora lub podmiotu przetwarzającego:
    1. imię i nazwisko oraz adres zamieszkania, w przypadku, gdy jest to osoba fizyczna;
    2. firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku, gdy jest to osoba fizyczna prowadząca działalność gospodarczą;
    3. pełną nazwę oraz adres siedziby, w przypadku, gdy jest to inny przedsiębiorca, niż wymieniony wyżej;
    4. numer identyfikacyjny REGON, jeżeli został nadany.

Zgłoszeń musisz dokonać w formie elektronicznej, opatrzonych kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Wszystkie potrzebne do tego wskazówki odnajdziesz na stronie internetowej PUODO.

Musisz zapoznać się z:

Dane Inspektora zawarte w zgłoszeniu (nazwisko, e-mail itd.) musisz umieścić także na swojej stronie internetowej, a jeżeli jej nie posiadasz – w miejscu prowadzenia działalności, tak by każdy mógł się z nimi zapoznać.

Podstawy zatrudnienia IOD

Zgodnie z przepisami RODO, na Inspektora możesz wyznaczyć swojego pracownika albo zawrzeć umowę o świadczenie usług z podmiotem zewnętrznym (outsourcing). Oba rozwiązania mają zalety i wady, które zostaną pokrótce omówione poniżej.

Pracownik z pewnością będzie lepiej orientował się w sposobie funkcjonowania Twojego przedsiębiorstwa i zasadach działalności w branży, co pozwoli mu efektywnie wykonywać zadania Inspektora. Z drugiej strony będą przysługiwały mu liczne przywileje i uprawnienia, nie będzie mógł także wykonywać zadań, które utrudniałyby mu pełnienie funkcji IOD lub powodowały konflikt interesów.

Podmiot zewnętrzny będzie z kolei potrzebował czasu na skuteczne wdrożenie się do wykonywania zadań typowych dla branży, uzyska też dostęp do informacji zazwyczaj niedostępnych dla osób trzecich. Ma jednak niebagatelne zalety – czuwanie nad ochroną danych osobowych będzie jego jedynym zadaniem, ponadto będzie można wybrać go biorąc pod uwagę wiele różnorodnych ofert, stosownie do potrzeb.

Ponadto istnieje możliwość, by podmiot zewnętrzny był osobą prawną, a obsługą zajmowała się nie jedna osoba, lecz cały zespół. W takim przypadku, na wszystkich członków takiego zespołu rozciągają się uprawnienia IOD, muszą oni spełniać także wymóg odpowiednich kwalifikacji, o których wspomina art. 37 ust. 5 RODO. Musisz pamiętać o wskazaniu w umowie osoby odpowiedzialnej za cały zespół oraz za kontakt z Tobą.

Zadania IOD

Na podstawie artykułu 39 RODO, Inspektor realizuje następujące zadania

  • informuje administratora oraz osoby przez niego zatrudnione, które przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy prawa oraz doradza im w tych sprawach;
  • monitoruje przestrzeganie przepisów z zakresu ochrony danych osobowych, polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych;
  • monitoruje podział obowiązków;
  • podejmuje działania zwiększające świadomość w zakresie ochrony danych osobowych;
  • przeprowadza szkolenia osób zatrudnionych w zakresie ochrony danych osobowych;
  • prowadzi audyty;
  • udziela na żądanie Administratora Danych Osobowych zaleceń co do oceny skutków dla ochrony danych osobowych oraz monitorować jej wykonanie zgodnie z art. 35 RODO;
  • współpracuje z Prezesem Urzędu Ochrony Danych Osobowych;
  • pełni funkcję punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzi konsultacje we wszelkich innych sprawach.

Dodatkowo, nic nie stoi na przeszkodzie, aby zakres obowiązków samego IOD został rozszerzony. Takie zadania mogą być wskazane w umowie z IOD lub przydzielane na bieżąco zależnie od woli stron.

Aby Inspektor mógł skutecznie realizować swoje zadania, RODO nakłada na administratora liczne obowiązki, które zostały wskazane poniżej.

Obowiązki administratora względem IOD

RODO gwarantuje Inspektorowi silną pozycję, wymagając by bezpośrednio podlegał “najwyższemu kierownictwu” administratora lub podmiotu przetwarzającego (w zależności od jego struktury organizacyjnej może być to np. zarząd spółki, przedsiębiorca jednoosobowy itd.). Dzięki temu IOD może zachować niezależność, a także komunikować się bezpośrednio z kierownictwem, co w przypadku konieczności szybkiej reakcji (np. na wycieku danych), ma niebagatelne znaczenie – ale może także stanowić o opóźnieniach, jeżeli zarządu źle zarządzą spółką.

Administrator nie może też odwołać ani karać Inspektora (także pośrednio, np. brakiem awansu) za wypełnianie przez niego obowiązków – z ochrony tej nie korzysta IOD, który wypełnia je nieprawidłowo lub dopuszcza się innych uchybień (np. bez usprawiedliwienia nie pojawia się w pracy). Ponadto, z racji jego niezależności, niedopuszczalne jest wydawanie Inspektorowi instrukcji odnośnie sfery jego działalności.

Do obowiązków administratora należy także wspieranie IOD w wypełnianiu przez niego zadań, zapewnianie mu niezbędnych do tego zasobów (nie tylko przedmiotów materialnych, ale też m. in. odpowiedniej ilości czasu) oraz udzielanie dostępu do danych osobowych.

Administrator musi także właściwie i niezwłocznie włączać Inspektora we wszystkie sprawy dotyczące ochrony danych osobowych, co wiąże się z jego udziałem w spotkaniach kierownictwa oraz podejmowaniu decyzji dotyczących tej materii (dzięki temu będzie mógł natychmiast zająć stanowisko wobec proponowanych rozwiązań).

Jeżeli administrator chce powierzyć mu także inne obowiązki, musi uważać by nie wywoływało to konfliktu interesów (przykładowo po mianowaniu IOD szefem marketingu, mógłby on skupić się głównie na tym zadaniu, zaniedbując ochronę danych osobowych).

 

Potrzebujesz indywidualnej pomocy prawnej?

Poszukujesz kogoś, kto rozwiąże Twój problem?

Napisz do mnie na a.szczudlo@skmlegal.pl!

 

Podsumowanie

Skoro dotarłeś do końca artykułu, wiesz już kim jest Inspektor Ochrony Danych, czym się zajmuje oraz jakie obowiązki wiążą się z jego obecnością w Twoim przedsiębiorstwie. Nawet jeżeli nie masz prawnego obowiązku jego wyznaczenia, rozważ, czy nie warto ponieść dodatkowych kosztów za cenę poczucia bezpieczeństwa w zakresie przetwarzania danych osobowych. Odpowiedzialność z tym związaną będziesz ponosił jako administrator, co wśród innych czynności związanych z prowadzeniem działalności, może okazać się zbyt dużym obciążeniem.  Fachowa pomoc Inspektora może okazać się w takim przypadku nieoceniona.

Jeżeli artykuł przydał Ci się, poszerzył Twoją wiedzę, udostępnij go proszę dalej. Będę wdzięczny.

ps. dzisiejszy artykuł powstał z pomocą zespołu naszej kancelarii :)

Arkadiusz Szczudło

Arkadiusz Szczudło

Jestem prawnikiem w kancelarii Snażyk Korol Mordaka sp.k. Pomagam przedsiębiorcom i freelancerom z branży kreatywnej, a w szczególności mody i newtech. Z powodzeniem prowadzę dla nich blogi oraz liczne poboczne projekty (...) Możesz do mnie pisać na a.szczudlo@skmlegal.pl.

More Posts - Website - Twitter - Facebook - LinkedIn - YouTube - Instagram

Pin It on Pinterest