Usługi
Aktualności
RODO
Szkolenia
Wydarzenia
O nas
kontakt

Strona główna
Aktualności
Kiedy należy wyznaczyć Inspektora Ochrony Danych?

Kiedy należy wyznaczyć Inspektora Ochrony Danych?

21.12.2022
Autor: Iza Grablewska
News

Inspektor Ochrony Danych (IOD) to osoba, która pełni ważną rolę w organizacji. Administrator lub podmiot przetwarzający wyznacza Inspektora, aby ten wspierał go w przestrzeganiu przepisów dotyczących ochrony danych osobowych. IOD współpracuje z Urzędem Ochrony Danych Osobowych (UODO) oraz udziela niezbędnych informacji osobom, których dane są przetwarzane.

Kto może, a kto musi wyznaczyć IOD na podstawie RODO?

RODO określa obowiązek wyznaczenia Inspektora Ochrony Danych dla administratorów i podmiotów przetwarzających wówczas, gdy:

1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

Przez „organy i podmioty publiczne” obowiązane do wyznaczenia Inspektora Ochrony Danych, o których mowa powyżej, rozumie się jednostki sektora finansów publicznych, np. jednostki samorządu terytorialnego, uczelnie publiczne, instytuty badawcze oraz Narodowy Bank Polski.

2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę;

„Główną działalnością” jest działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. Przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Do czynności zasadniczych powinny być zaliczane czynności realizowane przez administratora bądź podmiot przetwarzający, które stanowią podstawowy przedmiot ich działalności, natomiast za czynności poboczne można uznać te działania, które towarzyszą czynnościom zasadniczym. Dla przykładu, działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania Inspektora Ochrony Danych. Innym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w prywatnych centrach handlowych i przestrzeni publicznej. Działalnością główną spółki jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że taka spółka również powinna wyznaczyć Inspektora Ochrony Danych.

Pojęcie „regularnego i systematycznego monitorowania” obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Samo pojęcie nie jest jednak ograniczone jedynie do środowiska online i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą. Określenie „regularne” oznacza jedno lub więcej z następujących pojęć: stałe albo występujące w określonych odstępach czasu przez ustalony okres; cykliczne albo powtarzające się w określonym terminie; odbywające się stale lub okresowo. Sformułowanie „systematyczne” oznacza jedno lub więcej z następujących pojęć: występujące zgodnie z określonym systemem; zaaranżowane, zorganizowane lub metodyczne; odbywające się w ramach generalnego planu zbierania danych; przeprowadzone w ramach określonej strategii. „Monitorowanie osób” oznacza zaś prowadzenie obserwacji osób i może dotyczyć ich zachowań, zainteresowań czy preferencji. Wśród przykładów działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą można wymienić m.in.: świadczenie usług telekomunikacyjnych, profilowanie i ocenianie dla celów oceny ryzyka, na przykład dla celów oceny ryzyka kredytowego, śledzenie lokalizacji, na przykład przez aplikacje mobilne, programy lojalnościowe reklamę behawioralną oraz monitoring wizyjny.

Dla zaistnienia obowiązku wyznaczenia Inspektora Ochrony Danych nie wystarczy wystąpienie jednego ze wskazanych powyżej elementów, wszystkie trzy elementy (działalność główna; regularne i systematyczne monitorowanie osób; duża skala przetwarzania) powinny wystąpić łącznie. Nawet jeżeli występują dwa spośród wskazanych powyżej elementów, a trzeci nie występuje, to administrator lub podmiot przetwarzający nie ma obowiązku wyznaczenia Inspektora Ochrony Danych.

3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych;

Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Przy określaniu, czy przetwarzanie odbywa się na „dużą skalę” powinno się uwzględnić następujące czynniki:
liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
zakres przetwarzanych danych osobowych,
okres, przez jaki dane są przetwarzane,
zakres geograficzny przetwarzania danych osobowych.

Do przykładów „przetwarzania danych osobowych na dużą skalę” zaliczyć można m.in. przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności oraz przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich). W definicji przetwarzania na „dużą skalę” nie mieści się m.in. przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza oraz przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

„Szczególne kategorie danych” to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Administratorom i podmiotom przetwarzającym zaleca się udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia Inspektora Ochrony Danych. Ma to na celu wykazanie, że dany podmiot dokonał stosownej analizy i uwzględnił wymagania prawne w tym zakresie.

Jeśli dany podmiot nie ma obowiązku powołania IOD, a dobrowolnie się na wyznaczenie Inspektora decyduje, to wymagania wskazane w przepisach RODO dotyczące IOD stosuje się tak jak w przypadku tego obligatoryjnego powołania.

Zgodnie z RODO, do zadań Inspektora Ochrony Danych należy:

Informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie.
Monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym np. szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty.
Udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania.
Współpraca z organem nadzorczym.
Pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Inspektor Ochrony Danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Osoba wyznaczana do pełnienia funkcji Inspektora Ochrony Danych powinna znać przepisy prawa dotyczące ochrony danych osobowych, a także mieć wiedzę z zakresu systemów informatycznych i zabezpieczeń tego rodzaju systemów, w zakresie, w jakim są one wykorzystywane w danej jednostce organizacyjnej. Posiadanie wykształcenia w tym zakresie może być potwierdzone różnego rodzaju dokumentami.

Określenie „wiedza fachowa” powinno być rozumiane jako wiedza specjalistyczna, przewyższająca znacznie poziom wiedzy osoby zatrudnionej przy przetwarzaniu danych i przeciętnego użytkownika systemów informatycznych.

Administrator lub podmiot przetwarzający mają obowiązek zapewnić, aby Inspektor nie otrzymywał instrukcji dotyczących wykonywania zadań. Oznacza to, że w ramach wypełniania zadań IOD nie może otrzymywać instrukcji dotyczących sposobu rozpoznania sprawy, środków jakie mają zostać podjęte czy celu jaki powinien zostać osiągnięty, czy też faktu, czy należy skontaktować się z organem nadzorczym. Nie może również zostać zobligowany do przyjęcia określonego stanowiska w sprawie z zakresu prawa ochrony danych, np. określonej wykładni przepisów.

W ten sposób prawodawca unijny zapewnia IOD samodzielność, która ma być elementem niezależności Inspektora Ochrony Danych. Chodzi o to, aby IOD nie podlegał naciskom ze strony innych osób i mógł samodzielnie podejmować działania w ramach wykonywania swoich zadań.

Administrator lub podmiot przetwarzający zobowiązani są również do zapewnienia, by zadania i obowiązki Inspektora nie powodowały konfliktu interesów.

Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Z konfliktem interesów mamy do czynienia w sytuacji, gdy nie można pogodzić prawidłowej realizacji zadań IOD z wykonywaniem innych zadań, ponieważ między tymi zadaniami istnieje, bądź może istnieć, niezgodność, która uniemożliwia należyte ich wykonywanie.

Oznacza to, że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Ze względu na indywidualny charakter każdej organizacji ten aspekt powinien być analizowany osobno dla każdego podmiotu. Co do zasady, za powodujące konflikt interesów uważane są stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Inspektor Ochrony Danych nie może zostać odwołany ani ukarany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Wymóg ten zwiększa niezależność IOD i zapewnia możliwość wykonywania zadań w niezależny i odpowiednio chroniony sposób.

Nawet jeśli organizacja nie jest zobligowana do powołania Inspektora Ochrony Danych, to powinna to rozważyć. Dzięki temu zapewni sobie stałe monitorowanie przestrzegania RODO, właściwe informowanie o obowiązkach związanych z ochroną przetwarzanych danych osobowych, bieżące doradztwo związane z zarządzaniem procesami przetwarzania danych. Należy pamiętać, ze właściwa ochrona danych osobowych to również poprawa procesów obsługi klientów, których dane są przetwarzane. Powołanie Inspektora jest też widocznym znakiem dla klientów, kontrahentów, pracowników i innych interesariuszy, że dana organizacja przykłada odpowiednią wagę do ochrony powierzanych jej danych osobowych.

Autor

Iza Grablewska

Aplikantka radcowska, absolwentka Uniwersytetu Warmińsko-Mazurskiego w Olsztynie. Doświadczenie zawodowe zdobywała w kancelariach prawnych w Olsztynie i w Warszawie oraz w Sądzie Okręgowym w Warszawie na stanowisku Asystenta Sędziego.

Uczestniczyła w procesach dostosowania organizacji do RODO, audytach zgodności z prawem ochrony danych osobowych, przygotowywaniach dokumentacji wdrożeniowych, opiniowania umów z punktu widzenia przepisów dotyczących ochrony danych osobowych. Sprawuje funkcję Inspektora Ochrony Danych u klientów Audytel S.A. Wyróżnia się dokładnością oraz skrupulatnością w analizowaniu oraz tworzeniu dokumentacji prawnej.

Z tej samej kategorii

Zatwierdzone kodeksy postępowania w Polsce na gruncie RODO Więcej

Realizacja prawa dostępu do danych osobowych według EROD Więcej

Profilowanie na Danych Osobowych Więcej

Sztuczna inteligencja w objęciach prawa unijnego. Główne problemy regulacyjne w czasie inkubacyjnym. Więcej

Prezes Urzędu Ochrony Danych Osobowych – wybór, kompetencje i wyzwania na 2024 r. Więcej

COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA Więcej

Zasady naczelne RODO Więcej

Dokumentacja z zakresu ochrony danych osobowych Więcej

Kodeksy postępowania na gruncie RODO i ich znaczenie Więcej

Naruszenie ochrony danych w świetle wytycznych Europejskiej Rady Ochrony Danych Więcej

WSZYSTKIE Z KATEGORII

Kategorie

analizy
Cyberbezpieczeństwo
definicje i pojęcia w RODO
inspektor ochrony danych
obowiązki administratora danych
organ nadzorczy
powierzanie danych
prawa podmiotów danych
przekazywanie danych poza EOG
roczny plan kontroli UODO
RODO w IT
Sankcje, kary finansowe RODO

Ta strona wykorzystuje pliki cookie, należące do nas lub do osób trzecich, do celów wydajności i służą reklamom zgodnym z Twoimi preferencjami dotyczącymi przeglądania, które mogą być dla Ciebie interesujące. Aby dowiedzieć się więcej o tym, jak używamy plików cookie lub zmienić preferencje dotyczące plików cookie, kliknij na "Ustawienia plików cookie". Możesz w każdej chwili zmienić te ustawienia odwiedzając naszą politykę cookies i postępując zgodnie z zawartymi w niej instrukcjami. Klikając na "Zaakceptuj wszystkie pliki cookie" wyrażasz zgodę na przechowywanie plików cookie w swoim urządzeniu.

Polityka plików cookie Ustawienia plików cookie Zaakceptuj wszystkie pliki cookie

Zarządzaj zgodami

Pliki cookie i inne technologie na tej stronie

Proszę zdecydować, czy ta strona może korzystać z plików cookie lub innych technologii, takich jak sygnały nawigacyjne w sieci web, znaczniki pikseli i obiekty Flash („Pliki cookie”), jak opisano poniżej. Więcej informacji na temat korzystania z plików cookie i związanych z nimi technologii można znaleźć w naszej polityce prywatności, do której odsyła poniższy link.

Polityka Prywatności

Funkcjonalne pliki cookie

Te pliki cookie umożliwiają nam analizę korzystania z witryny przez użytkownika w celu oceny i poprawy jej wydajności. Mogą one być również wykorzystywane do zapewnienia lepszej obsługi klienta na tej stronie. Na przykład: do zapamiętywania danych do logowania, zapisywania informacji o tym, co znajduje się w koszyku lub dostarczania nam informacji o sposobach korzystania z naszej witryny.

Pomiar wydajności

Te pliki cookie umożliwiają nam zliczanie wizyt i źródeł ruchu, dzięki czemu możemy mierzyć i poprawiać wydajność naszej witryny. Pomagają one ustalić, które strony są najbardziej i najmniej popularne i zobaczyć, jak odwiedzający poruszają się po stronie. Wszystkie informacje zbierane przez te pliki cookie są agregowane i tym samym anonimowe. Jeśli użytkownik nie zezwoli na stosowanie tych plików cookie, nie będziemy wiedzieć, kiedy odwiedził naszą stronę internetową.

Reklamowe pliki cookie

Te pliki cookie są wykorzystywane do wyświetlania reklam, które są bardziej dopasowane do użytkownika. Możemy dzielić się tymi informacjami z reklamodawcami lub wykorzystywać je w celu lepszego zrozumienia zainteresowań użytkownika. Reklamowe pliki cookie mogą być na przykład wykorzystywane do udostępniania danych reklamodawcom, tak aby reklamy, które widzi użytkownik były do niego bardziej dopasowane, aby mógł on udostępniać niektóre strony na portalach społecznościowych lub zamieszczać komentarze na naszej stronie.

Wymagane pliki cookie

Te pliki cookie są niezbędne, aby umożliwić korzystanie z podstawowych funkcji witryny, takich jak zapewnienie bezpiecznego logowania lub zapamiętywanie, na jakim etapie składania zamówienia jest użytkownik.

SAVE & ACCEPT

RODOradar.pl - Wszystko o RODO

Wychodząc naprzeciw trudnościom i wątpliwościom, jakie stwarza wdrażanie przepisów prawa ochrony danych osobowych, stworzyliśmy serwis, którego celem jest dostarczanie wiedzy i wskazówek pomocnych przy wdrażaniu RODO w organizacjach.

Potrzebujesz pomocy we wdrożeniu przepisów RODO w swojej organizacji?

SKONTAKTUJ SIĘ Z NAMI

Nawigacja

Aktualności
Tekst GDPR/RODO
O nas
Szkolenia
Wydarzenia
Regulamin
Polityka prywatności

Blog

O przetwarzaniu danych w badaniu klinicznym
Udostępnienie czy powierzenie przetwarzania danych osobowych?
Formularz kontaktowy a RODO
RODO a nowe prawo kosmetyczne
Dane biometryczne w pracy
Ochrona medycznych danych osobowych

Czytaj dalej >>