Wyznaczyłeś już IOD?

Wizytówka z logo

Kiedy wyznaczenie IOD jest obowiązkowe?

Zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO) wyznaczenie Inspektora Ochrony Danych (IOD) jest obligatoryjne w organach i podmiotach publicznych, a także gdy główna działalność administratora danych polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych. Do organów i podmiotów publicznych najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również szereg innych podmiotów prawa publicznego. Projekt ustawy o ochronie danych osobowych określa, że organy i podmioty publiczne obowiązane do wyznaczenia IOD to, organy publiczne wskazane w art. 5 § 2 pkt 3 Kodeksu postępowania administracyjnego oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, czyli  ministrowie, centralne organy administracji rządowej, wojewodowie, działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej), organy jednostek samorządu terytorialnego, a także podmioty wchodzące w skład sektora finansów publicznych, do którego zalicza się:

  •  organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
  •  jednostki samorządu terytorialnego oraz ich związki;
  •  związki metropolitalne;
  •  jednostki budżetowe;
  •  samorządowe zakłady budżetowe;
  •  agencje wykonawcze;
  •  instytucje gospodarki budżetowej;
  •  państwowe fundusze celowe;
  •  Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
  •  Narodowy Fundusz Zdrowia;
  •  samodzielne publiczne zakłady opieki zdrowotnej;
  •  uczelnie publiczne;
  •  Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
  •  państwowe i samorządowe instytucje kultury;
  •  inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
Za “główną działalność” administratora danych uznaje się fundamentalne operacje podejmowane w celu osiągnięcia celów administratora danych. Obejmują one również wszelkie działania, w których przetwarzanie danych osobowych stanowi nieodłączną część działalności administratora danych. Przykładowo przetwarzanie danych dotyczących stanu zdrowia (dokumentacja zdrowotna pacjenta), powinno być uznane za jedno z głównych działań szpitala, w związku z tym dany szpital będzie zobligowany do wyznaczenia IOD.
 
Przepisy RODO nie definiują pojęcia przetwarzania danych na “dużą skalę“. Obecnie nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, lub liczby osób, których dane dotyczą, która dookreśliłaby termin przetwarzania danych osobowych na dużą skalę. Uważa się, że wraz z rozwojem praktyki ukształtują się pewne standardy, które umożliwią bardziej szczegółowe zdefiniowanie tego pojęcia, w odniesieniu do określonych rodzajów przetwarzania danych. W celu dokonania prawidłowej oceny czy w danym przypadku przetwarzania danych mamy do czynienia z przetwarzaniem danych na dużą skalę zaleca się uwzględnianie następujących czynników:
 
  • liczbę osób, których dane dotyczą (konkretna liczba, procent określonej grupy);
  • zakres przetwarzania danych osobowych;
  • okres, przez jaki dane osobowe są przetwarzane;
  • zakres geograficzny przetwarzania danych.
 Do przykładów przetwarzania danych na dużą skalę można zaliczyć:
 
  • przetwarzanie danych osobowych pacjentów w szpitalach i dużych przychodniach zdrowia;
  • przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (śledzenie za pośrednictwem kart miejskich);
  • przetwarzanie danych geo-lokalizacyjnych klientów w czasie rzeczywistym;
  • przetwarzanie danych osobowych klientów banków i ubezpieczycieli;
  • przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
  • przetwarzanie danych dotyczących treści, ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych.

Nawet jeśli wyznaczenie IOD nie jest obowiązkowe, dany podmiot może samodzielnie uznać powołanie IOD za wskazane na zasadzie dobrowolności. Gdy podmiot zdecyduje się na dobrowolne wyznaczenie IOD, będą go dotyczyły te same wymagania w zakresie wyznaczania, pozycji i zadań, tak jakby wyznaczenie IOD było obowiązkowe.

Łączenie funkcji IOD

Przepisy art. 38 ust. 6 RODO dopuszczają wykonywanie innych zadań i obowiązków przez wyznaczonego IOD, jednakże owe zadania i obowiązki nie mogą powodować tzw. konfliktu interesów. Oznacza to, że IOD nie może zajmować w danej organizacji stanowisk pociągających za sobą określenie sposobów i celów przetwarzania danych. Co do zasady, za powodujące konflikt interesów uważa się wszelkie stanowiska kierownicze, ale również inne stanowiska, jeżeli biorą udział w określaniu sposobów i celów przetwarzania danych osobowych (niemożność powierzania zadań, które mogą stać w sprzeczności z celami, do realizacji których wyznaczony został IOD). Przykładowo nie jest dopuszczalne, aby w ramach dodatkowych zadań i obowiązków IOD dokonywał przetwarzania danych osobowych w organizacji, a następnie jako IOD sprawdzał, czy przetwarzanie to przebiegało zgodnie z obowiązującymi przepisami prawa. Konflikt interesów może wystąpić również w przypadku, gdy np. zewnętrzny IOD zostanie poproszony o reprezentowanie Administratora Danych przed sadem w sprawie dotyczącej ochrony danych osobowych. Wymóg niepozostawania IOD w konflikcie interesów do wykonywania innych zadań i obowiązków jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny.

Zewnętrzny IOD

Zgodnie z zapisami ogólnego rozporządzenia o ochronie danych IOD może być pracownikiem administratora danych lub wykonywać zadania na podstawie umowy o świadczenie usług. Oznacza to, że IOD możne być zewnętrzny, i w tym przypadku jego funkcja może być wykonywana na podstawie umowy o świadczenie usług zawartej z osobą lub organizacją. Gdy funkcja IOD wykonywana jest przez zewnętrznego usługodawcę, zespół osób pracujących dla tego podmiotu może efektywnie wykonywać zadania IOD jako zespół, na odpowiedzialność wyznaczonej osoby kontaktowej i odpowiedzialnej za klienta. W takim przypadku ważne jest, aby każdy z członków zewnętrznej organizacji pełniący funkcje IOD spełniał wszystkie mające zastosowanie wymagania RODO.

RODO dopuszcza także wyznaczenie jednego IOD dla grupy przedsiębiorstw (podmiotów). Grupa przedsiębiorstw obejmuje przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa (podmioty), które są przez nie kontrolowane. Kontrola ta charakteryzuje się możliwością wywarcia dominującego wpływu wynikającego ze struktury właścicielskiej, udziału finansowego lub przepisów regulujących działalność czy też możliwość zakazania wdrożenia przepisów o ochronie danych. W zakresie wyznaczania jednego IOD dla wielu podmiotów ma znaczenie kwestia związana z łatwością nawiązywania kontaktu z IOD z każdej organizacji.