Przepisy RODO nakładają na niektóre podmioty obowiązek wyznaczenia Inspektora Ochrony Danych. W przypadku, gdy organizacja uzna, że taki obowiązek jej nie dotyczy, powinna to właściwie udokumentować.

Okoliczności, w których wyznaczenie inspektora ochrony danych w podmiotach z sektora prywatnego jest obowiązkowe, reguluje art. 37 ogólnego rozporządzenia o ochronie danych („RODO”). Obowiązek ten powstaje w sytuacjach, gdy główna działalność administratora lub podmiotu przetwarzającego polega na:

• operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają systematycznego i regularnego monitorowania osób, których dane dotyczą, na dużą skalę; lub
• przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, tj. danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, jak również danych dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby oraz w art. 10 RODO, tj. danych dotyczących wyroków skazujących i naruszeń prawa.

W pozostałych przypadkach wyznaczenie IOD jest fakultatywne.

W praktyce największą trudność sprawia zmierzenie się z mało precyzyjnymi pojęciami „głównej działalności” i „dużej skali”.

Preambuła do RODO wskazuje, że „w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze a nie poboczne czynności”. Również w Wytycznych Grupy Roboczej art. 29 (obecnie Europejskiej Rady Ochrony Danych Osobowych) dotyczących inspektorów ochrony danych (WP 243) podkreślono, że „główna działalność” może być rozumiana jako fundamentalne operacje podejmowane w celu osiągnięcia celów administratora lub podmiotu przetwarzającego.

W przepisach RODO nie zostało natomiast zdefiniowane pojęcie „regularnego i systematycznego monitorowania”, ani „przetwarzania na dużą skalę”. Skorzystanie z tak ogólnych sformułowań jest w tym przypadku celowe i zmierza do tego, by administrator danych we własnym zakresie dokonał analizy sytuacji oraz oceny, czy podlega omawianemu obowiązkowi. Wytyczne zawierają pewne wskazówki w zakresie przeprowadzania oceny, czy zachodzi konieczność powołania inspektora ochrony danych.

Wytyczne zawierają również szereg przykładów przetwarzania danych na dużą skalę, w tym przetwarzanie danych pacjentów przez szpitale, przetwarzanie danych klientów przez banki lub ubezpieczycieli, przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki, a także przetwarzanie danych dotyczących treści, ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych. W przypadku placówek medycznych główną działalnością jest wprawdzie zapewnianie opieki zdrowotnej, ale ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej. Jako przykład „działalności głównej polegającej na przetwarzaniu na dużą skalę wrażliwych danych osobowych” podana została działalność szpitali. Natomiast jako przykład przetwarzania niemieszczący się w definicji dużej skali (zgodnie z motywem 91 RODO) wskazane jest przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną).

Wytyczne nie zawierają jednak konkretnych liczb, które pozwoliłyby ocenić, w którym momencie przetwarzanie danych odbywa się na dużą skalę. Zostały oparte na założeniu, że wraz ze stosowaniem przepisów w praktyce, wykształcą się standardy umożliwiające doprecyzowanie lub liczbowe określenie tego pojęcia.

Jeśli organizacja uzna, że nie jest zobowiązana do wyznaczenia inspektora ochrony danych, to zgodnie z Wytycznymi, mając na względzie zasadę rozliczalności, zalecane jest udokumentowanie procedury, która została przeprowadzona, w celu ustalenia istnienia lub braku takiego obowiązku. Warto pamiętać także o jej aktualizacji, jeśli organizacja zamierza świadczyć nowe usługi, które mogłyby mieć wpływ na zmianę dotychczasowych konkluzji.

Wyznaczenie inspektora ochrony danych, także gdy jest fakultatywne, wiąże się również z koniecznością dopełnienia wymogów formalnych przewidzianych przepisami ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Podmiot, który wyznaczył inspektora ochrony danych musi zgłosić to do Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni, wskazując m.in. imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Powinien również udostępnić na swojej stronie internetowej te dane niezwłocznie po wyznaczeniu inspektora ochrony danych. Jeżeli podmiot nie prowadzi strony internetowej powinien udostępnić te informacje w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Katarzyna Żukowska, Karolina Romanowska