RODO: Jak to jest z tym Inspektorem Ochrony Danych Osobowych?

RODO: Jak to jest z tym Inspektorem Ochrony Danych Osobowych?

Warto zapoznać się z przepisami i zaplanować kroki, które należy podjąć wcześniej, by właściwie dostosować swoją działalność.

25 maja 2018 r. – nie bez powodu ta data pojawia się na każdym kroku. RODO czyli Ogólne Rozporządzenie 2016/679 o Ochronie Danych nie ominie żadnej branży i pociąga za sobą niejedną zmianę. Pojawia się szereg pytań jak przygotować się do sprostania nowym przepisom i jak w praktyce RODO wpłynie na nasze biznesy – przede wszystkim małe i średnie przedsiębiorstwa.

Jedna ze zmian to nowa instytucja Inspektora Ochrony Danych Osobowych (IODO). IODO to konstrukcja wprowadzona przez RODO, której założenia zbliżone są do funkcjonującego obecnie na gruncie ustawy o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 r. Administratora Bezpieczeństwa Informacji (ABI). Jednakże, jako że obecne przepisy nie nakładają na przedsiębiorców obowiązku powołania ABI czyli aktualnego odpowiednika IODO, bez względu na specyfikę prowadzonej działalności, sprostanie nowym wymogom RODO od 25 maja może być zaskoczeniem dla nieprzygotowanych do nowej rzeczywistości administratorów danych. Dlatego już teraz warto zapoznać się z przepisami i zaplanować kroki, które należy podjąć wcześniej, by właściwie dostosować swoją działalność.

Kto będzie w rzeczywistości musiał powołać IODO?

Obowiązek dotyczy zarówno administratorów, jak i procesorów, a więc podmioty przetwarzających dane w imieniu administratora. Podmioty zobowiązane do wyznaczenia Inspektora w rozumieniu nowej ustawy dzielą się na publiczne i prywatne i są to:

1. Każdy organ albo podmiot publiczny (za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości), a dodatkowo podmiot prywatny, realizujący zadania publiczne (np. dostarczanie energii, wody).

2. W sektorze prywatnym:

  • podmiot, którego główna działalność polega na operacjach przetwarzania, wymagających regularnego i systematycznego monitorowania na dużą skalę osób, których dane dotyczą,
  • administrator, którego działalność opiera się na operacjach przetwarzania na dużą skalę szczególnych kategorii danych osobowych a także danych dotyczących naruszeń prawa lub wyroków skazujących (przykładowo szpital, apteka, podmiot prowadzący serwis randkowy).

Obowiązki związane z powołaniem Inspektora Ochrony Danych w ramach RODO są więc często traktowane jako te o mniejszym priorytecie – przede wszystkim ze względu na fakt, że znaczenie IODO w sektorze prywatnym ma stosunkowo wąski zakres. Jednak pomimo ograniczonej grupy podmiotów objętych tymi wymogami, organizacje powinny rozważyć, czy mieszczą się w którejś z powyższych grup.

Przesłanki powołania IODO w organizacji

Jak widać, prowadzenie działalności polegającej na przetwarzaniu danych nie oznacza więc, że automatycznie należy powołać IODO. W sektorze prywatnym powinny zostać spełnione trzy kluczowe warunki:

  • Do przetwarzania danych musi dochodzić na dużą skalę. RODO nie precyzuje tego pojęcia jednak weryfikacji należy dokonać biorąc pod uwagę takie kryteria jak liczba osób, których dane są przetwarzane (w świetle wielkości całej grupy społeczeństwa), zakres przetwarzania danych, okres w którym dane są przetwarzane i zakres geograficzny.
  • Monitorowanie odbywa się w sposób regularny i systematyczny. Rozporządzenie instruuje, że ,,monitorowanie zachowania” osób zachodzi wtedy gdy osoby są obserwowane w Internecie, stosowane jest profilowanie, w szczególności w celu analizowania preferencji i zachowań, a także gdy podmioty danych monitorowane są poza siecią. Jest to na przykład obsługa sieci teleinformatycznej, reklama behawioralna, inteligentne samochody czy śledzenie aplikacji przez aplikacje mobilne, a także powszechnie stosowany monitoring wizyjny!
  • Powyższe działania związane są z wykonywaniem głównego przedmiotu działalności administratora.

Kim jest Inspektor ODO

Powołany IODO, jako niezależny organ, przede wszystkim zapewnia zgodność przyjętych w organizacji środków i regulacji ze wszystkimi wymogami RODO, między innymi poprzez informowanie i doradzanie administratorowi lub podmiotowi przetwarzającemu oraz pracownikom, którzy wykonują swoje obowiązki, a także współpracę z organem nadzoru. Inspektor nie może być odwołany ani karany przez administratora za wypełnianie swoich zadań. Niezależność Inspektora ma zapewniać również zakaz wydawania mu instrukcji, co do sposobu wykonywania jego obowiązków. Ta gwarancja niezależności jest niezbędna dla zapewnienia mu możliwości rzetelnego wykonywania zadań. IODO musi być wdrażany we wszystkie sprawy dotyczące ochrony danych i powinien być świadomy wszystkich działań, które mogą wpływać na kształt operacji związanych z przetwarzaniem danych w firmie. Szczególną rolę Inspektor pełni także w związku z obowiązkiem wynikającym z art. 35 ust. 2 RODO, który wymaga od administratora danych konsultowania się z Inspektorem w ramach procesu prowadzenia oceny ryzyka dla przetwarzanych danych.

Inspektorem będzie mógł zostać zarówno pracownik organizacji administratora ale również podmiot zewnętrzny, wykonujący zadania na podstawie umowy o świadczenie usług. W szczególności małe i średnie podmioty powinny rozważyć outsourcing takiej funkcji. Należy jednak mieć na uwadze, że taka osoba musi spełniać wszystkie wymogi stawiane przez przepisy RODO dotyczące między innymi unikania konfliktu interesów, gwarancji niezależności czy rzetelnego włączania Inspektora we wszystkie sprawy dotyczące ochrony danych osobowych w firmie.Inspektor w zakresie swojej fachowej wiedzy na temat prawa i praktyk w dziedzinie ochrony danych jest odpowiedzialny za monitorowanie polityk, administratora danych i przestrzegania przepisów w organizacji. Wypełnia te obowiązki poprzez przeprowadzanie szkoleń pracowników, audytów oraz współpracę z organem nadzoru dla którego stanowi punkt kontaktowy organizacji.

Na administratorze spoczywa więc nie tylko obowiązek oceny czy dany podmiot spełnia powyższe kryteria, a następnie powołania Inspektora, lecz także zapewnienia mu wszelkich niezbędnych środków i kompleksowego dostępu do informacji. RODO nakłada na administratorów lub podmioty przetwarzające obowiązek publikacji danych Inspektora oraz powiadomienia o nich Organów Nadzorczych, w ramach spełnienia obowiązku informacyjnego. Należy pamiętać, że ostatecznie bowiem to administrator odpowiada za zgodność przetwarzania z prawem oraz naruszenia ochrony danych osobowych w organizacji.

Masz pytanie? Napisz: natalia.dulkowska@magnussonlaw.com

Fotografia: Samuel Zeller / Unsplash

ochrona danych i własności intelektualnej
natalia.dulkowska@magnussonlaw.com