Kiedy należy powołać Inspektora ochrony danych (IOD)?

Kiedy należy powołać Inspektora ochrony danych (IOD)?

RODO oraz przepisy krajowej ustawy o ochronie danych osobowych w pewnych przypadkach nakładają obowiązek powołania Inspektora ochrony danych. Ma on czuwać nad prawidłowością przebiegu procesów związanych z przetwarzaniem danych osobowych w konkretnym podmiocie.

Dla jakich kategorii podmiotów IOD jest obowiązkowy?

  • Przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Mimo że RODO nie definiuje, co kryje się pod nazwą „organ lub podmiot publiczny”, robią to nasze rodzime przepisy, wskazując, że są to jednostki sektora finansów publicznych, instytuty badawcze i Narodowy Bank Polski. Dla przykładu, takim podmiotem będzie NFZ, uczelnia publiczna, jednostki samorządu terytorialnego czy ZUS.

Co w przypadku podmiotów sektora prywatnego, które wykonują zadania z zakresu administracji publicznej? Nie można mówić o przyporządkowaniu ich do wyżej wskazanej grupy podmiotów, dla których powołanie IOD jest obowiązkowe, ale dobre praktyki nakazują, by w takiej sytuacji również wyznaczyć IOD.

  • Główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Czym jest „główna działalność”? Uznajemy, że podmioty, których podstawowym przedmiotem działalności są czynności, które co do zasady nie byłyby możliwe bez przetwarzania danych, są objęte opisywanym obowiązkiem. Jednak, gdyby zatrzymać się tylko na tym punkcie, można byłoby przyjąć, że w rzeczywistości każdy podmiot musi powołać IOD. Dlatego warto doprecyzować, że przetwarzanie danych musi mieć charakter regularny i systematyczny i występować na dużą skalę. Dla oceny sytuacji należy przyjąć kryteria zasięgu geograficznego używanych danych, ilości osób, których to przetwarzanie dotyczy, rodzaju danych oraz okresu ich przechowywania. Jeśli podmiot przetwarza dane z kilku województw (a nawet krajów), dotyczy to sporej grupy ludzi i wielu kategorii danych, z pewnością będzie musiał liczyć się z obowiązkiem powołania IOD.

  • Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Tutaj również mamy do czynienia z oceną „głównej działalności” oraz „dużej skali”. Zasadnicza różnica polega na tym, że w tym przypadku podmiot przetwarza dane szczególnej kategorii, tj. dane biometryczne, zdrowotne czy też dane ujawniające pochodzenie rasowe, poglądy religijne, polityczne itp. Dobrym przykładem będzie szpital, który przetwarza dane dot. zdrowia pacjenta.

 

Patrycja Krótka
prawnik
Przez |2021-01-11T11:18:34+02:0011 stycznia 2021|RODO bez tajemnic|0 komentarzy

Informacje o autorze: