Kto musi wyznaczyć Inspektora Ochrony Danych?

Przepisy RODO wprowadziły do polskiego systemu prawnego instytucję Inspektora Ochrony Danych (IOD), który zastąpił dawnego Administratora Bezpieczeństwa Informacji (ABI), którego wyznaczenie w Polsce było fakultatywne. Obecnie wyznaczenie Inspektora Ochrony Danych (IOD) z zasady nie zawsze jest obligatoryjne, poza trzema przypadkami określonymi w art. 37 ust. 1 RODO.

Wymieniony przepis RODO stanowi o tym, że obowiązek wyznaczenia Inspektora Ochrony Danych (IOD) istnieje zawsze gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

 

Przez organy i podmioty publiczne, o których mowa w art. 37 ust. 1 RODO należy rozumieć (1) jednostki sektora finansów publicznych, (2) instytuty badawcze, (3) Narodowy Bank Polski.

 

Te podmioty każdorazowo mają obowiązek wyznaczenia Inspektora Ochrony Danych (IOD) na zasadach określonych w RODO.

 

  1. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

 

Zdaniem Grupy Roboczej art. 29, aby działanie można było uznać za „regularne” musi ono posiadać przynajmniej jedną z następujących cech: (1) być aktualne w toku lub być podejmowane w regularnych odstępach czasu w danym okresie, (2) być prowadzone cyklicznie lub powtarzać się w określonych momentach, (3) być prowadzone stale lub okresowo.

 

Natomiast „systematyczne” działanie, musi posiadać jedną z następujących cech: (1) być przeprowadzane w ramach określonego systemu, (2) być wcześniej zaplanowane, zorganizowane lub mieć metodyczny charakter, (3) odbywać się w ramach ogólnego planu gromadzenia danych, (4) być realizowane jako część strategii.

 

Jeżeli dany podmiot spełnia te przesłanki, zgodnie z RODO powinien wyznaczyć Inspektora Ochrony Danych (IOD).

 

  1. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

 

Za „główną działalność” należy uważać te kluczowe operacje na danych osobowych, które administrator lub podmiot przetwarzający muszą podjąć, aby osiągnąć cele prowadzonej działalność.

 

Z kolei dla oceny czy przetwarzanie ma miejsce na „dużą skalę”, należy wziąć pod uwagę następujące czynniki: (1) liczbę osób, których dane dotyczą, (2) ilość danych lub zakres poszczególnych przetwarzanych pozycji danych, (3) czas trwania lub trwałość czynności przetwarzania danych, (4) zakres geograficzny czynności przetwarzania.

Jeżeli te aspekty zostaną spełnione, dany podmiot powinien wyznaczyć Inspektora Ochrony Danych (IOD) na zasadach określonych w RODO.

Co istotne, RODO przewiduje, że grupa przedsiębiorstw może wyznaczyć jednego Inspektora Ochrony Danych (IOD), o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

Przepisy RODO przewidują, że Inspektor Ochrony Danych (IOD) może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług. Możliwy jest zatem outsourcing funkcji IOD (outsourcing IOD), który polega na przejęciu funkcji IOD przez zewnętrzny podmiot, który będzie świadczyć usługi na rzecz administratora lub podmiotu przetwarzającego.

W celu uzyskania informacji na temat przejęcia funkcji Inspektora Ochrony Danych (outsourcing IOD), zachęcamy do kontaktu z naszą Kancelarią.

 

Daniel Trędkiewicz, Radca prawny
daniel.tredkiewicz@forystek.pl