Inspektor Ochrony Danych w świetle RODO

 

Ogólne Rozporządzenie o Ochronie Danych (RODO) wprowadza funkcję Inspektora Ochrony Danych. Firmy już teraz powinny zweryfikować, czy konieczne jest powołanie Inspektora oraz podjąć czynności mające na celu zagwarantowanie Inspektorowi odpowiedniej pozycji w strukturze firmy. Jest to bardzo istotne, gdyż naruszenie przepisów RODO dotyczących Inspektora Ochrony Danych (np. jego niepowołanie, gdy jest to obligatoryjne) może wiązać się z nałożeniem wysokich kar pieniężnych.

 

W jakich przypadkach firma musi powołać Inspektora Ochrony Danych?

Powołanie Inspektora Ochrony Danych jest zasadniczo obligatoryjne w przypadku podmiotów, których działalność – ze względu na rodzaj i zakres przetwarzanych danych – może wiązać się z istotnym ryzykiem naruszenia praw i wolności osób fizycznych.

RODO przewiduje trzy przypadki, gdy powołanie Inspektora jest obligatoryjne:

  • przetwarzania dokonuje organ lub podmiot publiczny (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości)

Dotyczy to w szczególności podmiotów takich jak szkoły i uczelnie publiczne, urzędy gmin itp. Zgodnie jednak z wytycznymi wydanymi na gruncie tego postanowienia, także inne podmioty wykonujące zadania w interesie publicznym, w szczególności w sektorach takich jak transport publiczny, dostarczanie wody i energii, infrastruktura drogowa, powinny powołać Inspektora.

  • główna działalność przedsiębiorcy polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę

W tym przypadku istotne jest, czy przetwarzanie danych jest „główną działalnością”, tj. działalnością kluczową z punktu widzenia osiągnięcia celów firmy oraz czy cechuje się regularnością i systematycznością. Inspektora muszą na pewno powołać np. firmy świadczące usługi telekomunikacyjne, usługi w zakresie reklamy behawioralnej czy profilowania. Z uwagi jednak na niedookreślony charakter tych przesłanek, wskazana jest jednostkowa analiza działalności danej firmy w celu oceny, czy powołanie Inspektora jest obligatoryjne.

  • główna działalność przedsiębiorcy polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Przesłanka ta dotyczy przede wszystkim podmiotów świadczących usługi medyczne (szpitale, przychodnie), ubezpieczycieli i zakładów karnych.

Ponadto każde z państw członkowskich może określić dodatkowe przypadki, w których konieczne będzie powołanie Inspektora (na chwilę obecną w Polsce nie ma żadnych projektów ustaw w tym zakresie).

Niezależnie od przypadków obligatoryjnego wyznaczenia Inspektora Ochrony Danych, przedsiębiorcy, biorąc pod uwagę charakter i zakres swojej działalności, mogą podjąć decyzję o dobrowolnym powołaniu Inspektora Ochrony Danych bądź też powierzeniu podmiotowi zewnętrznemu wypełniania zadań związanych z ochroną danych osobowych. W praktyce może się to bowiem okazać bardzo pomocne przy wielu bieżących operacjach biznesowych związanych z przetwarzaniem danych, a także w celu wykazania zgodności przetwarzania danych z RODO, np. w razie kontroli.

 

Status i pozycja Inspektora Ochrony Danych Osobowych

RODO szczegółowo określa rolę i status Inspektora Ochrony Danych w firmie. Warto mieć na uwadze, że wprowadzenie przewidzianych RODO rozwiązań w celu zagwarantowania Inspektorowi możliwości skutecznej realizacji jego praw i obowiązków może w praktyce oznaczać, że Inspektor stanie się jedną z kluczowych osób w organizacji.

Z jednej strony Inspektor będzie bowiem reprezentował administratora danych w stosunku do osób trzecich, tzn. będzie punktem kontaktowym zarówno dla organu nadzorczego, jak i dla osób, których dane są przetwarzane. Z drugiej zaś strony Inspektor będzie musiał być włączany od najwcześniejszego etapu we wszelkie projekty w firmie, w których dochodzi do przetwarzania danych osobowych (np. duże akcje marketingowe, w których zbierane są dane osobowe, wprowadzanie nowych produktów, np. aplikacji, działania związane z e-commerce). Firmy będą musiały zagwarantować Inspektorowi pełną niezależność, a także zasoby – zarówno personalne, finansowe, jak i infrastrukturalne – umożliwiające prawidłowe wykonywanie jego obowiązków.

Z uwagi zatem na status, pozycję i zadania Inspektora firmy powinny zweryfikować, czy powoływana na to stanowisko osoba posiada odpowiednie kwalifikacje i umiejętności w tym zakresie.

 

Co grozi za naruszenie przepisów RODO dotyczących Inspektora Ochrony Danych?

Za naruszenie przepisów dotyczących Inspektora Ochrony Danych (zarówno np. jego niepowołania, ale też niespełnienia wymogów co do jego statusu) na firmy może zostać nałożona administracyjna kara pieniężna w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa).

Najlepiej zatem już teraz, a na pewno przed 25 maja 2018 (tj. dnia, od którego RODO będzie w pełni stosowane), dokonać wewnętrznej analizy, czy powołanie Inspektora jest obligatoryjne oraz jakie kroki należy podjąć, aby zagwarantować Inspektorowi niezbędne narzędzia do wykonywania zadań. Warto także mieć na uwadze, że firmy, które już na gruncie obecnie obowiązujących przepisów powołały Administratora Bezpieczeństwa Informacji (zgodnie zaś ze wstępnym projektem nowej ustawy o ochronie danych osobowych obecni ABI automatycznie przez określony czas będą pełnić funkcję Inspektora) powinny zweryfikować jego status i pozycję oraz odpowiednio dostosować jego funkcję do RODO.

 

     Marta Wiśniewska, Radca Prawny Rödl & Partner