Odpowiedź na pytanie czy dana instytucja lub firma powinna powołać inspektora ochrony danych (IOD), po wejściu w życie przepisów RODO, sprawia administratorom danych sporo problemów. Przepisy unijnego rozporządzenia są na tyle nieostre, że wymagają dodatkowej interpretacji. Projekt krajowej ustawy o ochronie danych osobowych również nie przynosi w tej kwestii wyraźnego rozwiązania. Obecnie można w tej materii posiłkować się wytycznymi Grupy roboczej art. 29 ds. ochrony danych. Jest to organ opiniotwórczy i doradczy składający się z przedstawicieli organów nadzorczych państw członkowskich.

Obowiązkowe powołanie IOD według RODO

RODO stanowi, że administrator i podmiot przetwarzający powinni obowiązkowo wyznaczać inspektora ochrony danych, zawsze gdy:

• przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Pojęcie organu publicznego

RODO nie zawiera definicji pojęcia „organu lub podmiotu publicznego”. Grupa art. 29 stoi na stanowisku, że takie pojęcie powinno zostać określone na poziomie przepisów krajowych. Dlatego zasady powoływania inspektorów ochrony danych uszczegóławia projekt polskiej ustawy o ochronie danych osobowych, który stanowi, że przez organy i podmioty publiczne należy rozumieć:

• jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy o finansach publicznych (patrz ramka),
• instytuty badawcze, o których mowa w ustawie o instytutach badawczych (Dz. U. z 2017 r. poz. 1158 ze zm.),
• Narodowy Bank Polski.

Grupa art. 29 wskazuje, że zadanie może być realizowane w interesie publicznym lub może być sprawowana władza publiczna nie tylko przez organy lub podmioty publiczne, ale również przez inne osoby fizyczne i prawne podlegające prawu publicznemu lub prywatnemu, w sektorach takich jak np. transport publiczny, dostarczanie wody i energii, infrastruktura drogowa, radiofonia i telewizja, budynki użyteczności publicznej albo organy powołane dla zawodów regulowanych. Choć w powyższych przypadkach obowiązek powołania inspektora nie wynika z RODO, to Grupa art. 29 zaleca w ramach dobrych praktyk powołać IOD, właśnie ze względu na rodzaj wykonywanych zadań.

Główna działalność administratora

RODO w motywie 97 stanowi, że przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Przykładowo, główną działalnością szpitali jest zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie jest możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania IOD. Kolejnym przykładem przywoływanym przez Grupę art. 29 jest spółka świadcząca usługi ochrony mienia, prowadząca monitoring w prywatnych centrach handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać inspektora.

Duża skala przetwarzania

Grupa art. 29 wśród przykładów przetwarzania na dużą skalę wymienia przetwarzanie danych:

• przez szpital w ramach prowadzonej działalności,
• osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich),
• geolokalizacyjnych w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych,
• klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
• do celów reklamy behawioralnej przez wyszukiwarki,
• przez dostawców usług telefonicznych lub internetowych.

Przetwarzaniem danych na szeroką skalę nie jest, a co za tym idzie – nie wymaga powołania inspektora, przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza czy też przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

Regularne i systematyczne monitorowanie

Chodzi tu o wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Samo pojęcie nie jest jednak ograniczone jedynie do środowiska on-line i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą. Przykłady podawane przez Grupę roboczą art. 29, to obsługa sieci telekomunikacyjnej, świadczenie usług telekomunikacyjnych, przekierowywanie e-mail, profilowanie i ocenianie dla celów oceny ryzyka (np. dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy), śledzenie lokalizacji (np. w aplikacjach telefonicznych), programy lojalnościowe, reklama behawioralna, monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych, monitoring wizyjny, urządzenia skomunikowane (np. inteligentne liczniki, samochody, automatyka domowa, itd.).

Jeżeli w instytucji obecnie powołany jest administrator bezpieczeństwa informacji (ABI), może on pełnić funkcję IOD do dnia 1 września 2018 r. Do tego czasu administrator danych będzie miał obowiązek powiadomić Prezesa Urzędu Ochrony Danych Osobowych, który zastąpi GIODO, o tym, czy osoba ta nadal będzie pełnić tę funkcję, czy też zastąpi ją inna. Nawet jeżeli RODO bezpośrednio nie nakłada obowiązku powołania IOD, niejednokrotnie korzystnym dla podmiotów może być dobrowolne wyznaczenie takiej osoby.

Grupa art. 29 zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia obowiązku bądź braku obowiązku wyznaczenia inspektora, celem wykazania, iż stosowne czynniki zostały uwzględnione.