Wiele spółek i przedsiębiorstw, według wskazań RODO, powinno powoływać u siebie inspektora danych osobowych (IOD) – jednostkę, która czasami traktowana jest przez administratorów jako zbędny balast, podczas gdy w rzeczywistości może być on bardzo pomocnym podmiotem w ochronie danych osobowych. Wyznaczenie IOD-a nie zwalnia z odpowiedzialności administratora, ani też podmiotu przetwarzającego (art. 24 ust. 1 RODO), ale inspektor może służyć fachowym wsparciem, które odpowiednio wykorzystane, może usprawnić i zabezpieczyć proces przetwarzania danych. W niniejszym artykule postaram się przyjrzeć bliżej jego roli i wskazać, kiedy IOD jest niezbędny, w czym może pomóc i jaką rolę wreszcie pełni w firmie.
Według treści 97 motywu RODO, inspektor danych osobowych to osoba, która dysponuje fachową wiedzą na temat prawa i praktyk w dziedzinie ochrony danych. Zostaje on powołany przez administratora lub podmiot przetwarzający w celu pomocy wewnątrz firmy w przestrzeganiu przepisów RODO. Przepisy te (art. 37 RODO) wyznaczają określone przypadki, gdy wyznaczenie IOD jest konieczne. Dzieje się tak w wypadku, kiedy: przetwarzania dokonuje organ albo podmiot publiczny (z wyjątkiem sądów), główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub też główna działalność tych dwóch podmiotów polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 (szczególnie wrażliwe dane osobowe), lub danych osobowych z art. 10 (dotyczących wyroków skazujących i czynów zabronionych)[1].
Inspektor ochrony danych osobowych nie jest podmiotem decyzyjnym, nie zastępuje on w procesie przetwarzania danych administratora, ale pełni w nim rolę obserwatora-fachowca, którego ocena i analiza powinna zostać wzięta pod uwagę w sposób uważny. Co ważne jest podkreślenia, administrator (jak również podmiot przetwarzający) nie ma obowiązku postąpienia według opinii wyrażonej przez IOD, lecz jego opinia powinna zostać wysłuchana i w razie braku porozumienia należałoby udokumentować powód niezastosowania porad inspektora w celu wypełnienia zasady rozliczalności[2]. Dlatego też administrator powinien zapewnić odpowiednie warunki inspektorowi, które umożliwiłyby czasowo odpowiednie zapoznanie się z tematem oraz zapewnić mu niezbędny dostęp do działań, rozmów oraz dokumentów powiązanych z procesem przetwarzania danych.
Podsumowując nie ma zatem konieczności zawsze wyznaczania IOD w swojej firmie, jednak zawsze warto, aby administrator trzymał rękę na pulsie i dokumentował przebieg analizy wewnętrznej w celu ustalenia, czy w danym przypadku nie okaże się, że pojawi się potrzeba powołania Inspektora[3], a powinno to nastąpić przed rozpoczęciem procesu przetwarzania.
We wspomnianym powyżej ust. 1 art. 37 RODO podane zostały trzy przypadki, w których pojawia się obowiązek wyznaczenia inspektora. Na potrzeby tego artykułu nas będzie interesował sektor prywatny – jak odbywa się to w firmach i przedsiębiorstwach, a nie w organach publicznych. Zgodnie z art. 37 ust. 4 dopuszczalne jest także dobrowolne wyznaczenie Inspektora Ochrony Danych Osobowych, nawet w przypadku niespełnienia przesłanek do jego obowiązkowego wyznaczenia. Nadto, można także współpracować z osobami, które będą odpowiedzialne za kwestie ochrony danych osobowych, ale nie będą miały statusu IOD: „Nic nie stoi na przeszkodzie, aby organizacja, która zgodnie z obowiązującymi przepisami nie jest zobowiązana do wyznaczenia DPO (IOD) i która nie chce wyznaczyć DPO (IOD) na zasadzie dobrowolności, zatrudniła pracowników lub konsultantów zewnętrznych i powierzyła im zadania w obszarze ochrony danych osobowych. W takim wypadku należy zadbać o to, by nazwa stanowiska piastowanego przez daną osobę, jej pozycja i zakres powierzonych jej obowiązków nie wzbudzały żadnych wątpliwości”[4]. Ujmując sprawę wprost, w takim wypadku powinno się wyraźnie wskazać, że dany pracownik lub konsultant nie pełni funkcji inspektora danych osobowych.
Jednym z przypadków, kiedy IOD musi zostać wyznaczony, jest sytuacja, gdy przetwarzanie danych osobowych stanowi główną działalność administratora, a przetwarzanie to ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Przetwarzanie stanowi główną działalność administratora, kiedy oznacza jego zasadnicze, a nie poboczne czynności. Taka „główna działalność oznacza kluczowe operacje, które administrator lub podmiot przetwarzający muszą podjąć, aby osiągnąć swoje cele”[5]. Na stronie Komisji Europejskiej czytamy, że wyznaczenie IOD będzie obowiązkowe w wypadku, gdy prowadzona jest mała firma rekrutacyjna, w której sporządza się profile osób fizycznych lub też agencja ochrony odpowiedzialna za monitoring centrów handlowych i miejsc publicznych. Natomiast nie ma takiej konieczności w przypadku lokalnego lekarza przetwarzającego dane osobowe swoich pacjentów albo małej firmy prawniczej[6].
Przetwarzanie na dużą skalę
Według art. 37 ust. 1 lit. b) oraz c) obowiązek wyznaczenia IOD występuje, kiedy dane osobowe przetwarzane są na dużą skalę. Grupa Robocza Art. 29 zaleca wzięcie pod uwagę kilku aspektów, żeby ustalić czy taka sytuacja zachodzi w danej firmie. Istotnymi aspektami będzie liczba osób, których dane dotyczą, ilość danych lub zakres poszczególnych przetwarzanych pozycji danych, czas trwania czynności przetwarzania oraz jej zakres geograficzny. Będą to np. szpitale, restauracje z międzynarodowych sieci typu McDonald, dostawcy usług telefonicznych bądź internetowych.
Zgodnie z art. 37 ust. 1 lit. b IOD powinien zostać wyznaczony, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Przyjrzyjmy się teraz, co oznacza regularne i systematyczne monitorowanie. Zgodnie z powołanymi wyżej wytycznymi regularności zostanie spełniony, jeśli pojawi się któraś z następujących cech w działaniu:
Przykładami takich działań mogą być: świadczenie usług telekomunikacyjnych, przekierowywanie wiadomości e-mail, działalność marketingowa oparta na danych, profilowanie i przyznawanie punktów na potrzeby oceny ryzyka czy też programy lojalnościowe.
Przykład: Średniej wielkości zakład produkcyjny, w tym wypadku będzie to administrator, zleca podwykonawstwo w zakresie opieki zdrowotnej w miejscu pracy zewnętrznemu podmiotowi przetwarzającemu, który ma wielu takich klientów. Ten podmiot będzie zobowiązany do wyznaczenia IOD (art. 37 ust. 1 lit. c), jeśli przetwarza dane na dużą skalę. Jednak zakład produkcyjny (administrator) nie będzie mieć już takiego obowiązku[7].
Według art. 37 ust. 5 inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39. Poziom wiedzy fachowej nie ma konkretnego sprecyzowania w RODO. Musi być zależny od stopnia złożoności działalności danej firmy. Z pewnością duża korporacja będzie prowadziła mniej zaawansowane procesy przetwarzania danych osobowych niż średniej wielkości firma. IOD powinien posiadać fachową wiedzę w zakresie krajowych oraz europejskich przepisów i praktyk w dziedzinie ochrony danych wraz ze znajomością RODO. Ważne, aby posiadał znajomość sektora, w którym prowadzona jest działalność gospodarcza danej firmy. Według motywu 97 RODO poziom wiedzy fachowej najlepiej byłoby ustalić na podstawie prowadzonych operacji przetwarzania danych oraz ochrony, jakiej będą wymagać dane osobowe. IOD musi również posiadać wysoki poziom etyki zawodowej oraz mieć rzetelne podejście do wykonywanych działań, gdyż jego priorytetem będzie przestrzeganie RODO[8].
IOD to jednostka stojąca, w pewnym sensie, na straży postępowania w firmie zgodnie z RODO. W art. 39 RODO znajdują się zadania, które należą do inspektora danych osobowych. Powinien on informować administratora, podmiot przetwarzający i pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państwa członkowskich o ochronie danych i doradzać im w tej sprawie. IOD musi również monitorować przestrzeganie tych przepisów, a także polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych, w tym podział obowiązków, prowadzić działania zwiększające świadomość, prowadzić szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Do jego obowiązków zalicza się również udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych, współpraca z organem nadzorczym oraz kontakt z nim (zob. art. 39 RODO).
Pomimo tego, że ocenę skutków dla ochrony danych przeprowadza administrator to IOD pełni w tym zakresie również istotną rolę. Administrator ma obowiązek konsultowania się z inspektorem przy dokonywaniu oceny (art. 35 ust. 2). Według Grupy Roboczej Art. 29 administrator powinien również zasięgnąć opinii IOD między innymi w:
– konieczności przeprowadzenia oceny skutków dla ochrony danych;
– metody, jaką należy zastosować przy przeprowadzaniu tej oceny;
– ustalenia, czy ocena skutków dla ochrony danych powinna zostać przeprowadzona wewnątrz przedsiębiorstwa czy też zlecona podmiotowi zewnętrznemu;
– ustalenia, jakie gwarancje należy zastosować w celu ograniczenia wszelkiego rodzaju zagrożeń dla praw i interesów osób, których dane dotyczą;
– ustalenie, czy ocena skutków dla ochrony danych została przeprowadzona w prawidłowy sposób.
W wypadku, kiedy administrator nie zgadza się z zaleceniami IOD w zakresie oceny skutków dla ochrony danych, powinien on zawrzeć pisemne uzasadnienie swojej decyzji. Opinia IOD musi być jednak należycie uwzględniona, dlatego administrator musi odpowiednio wcześnie udostępnić mu niezbędne informacje dotyczące operacji przetworzenia danych, aby IOD miał czas się z nimi zapoznać.
Poza tym administrator powinien zapewnić IOD pełne wsparcie kadry kierowniczej (ze strony zarządu), odpowiednie wsparcie finansowe i infrastrukturalne, oficjalne zakomunikowanie pracownikom o fakcie wyznaczenia IOD, możliwość ciągłego szkolenia (aktualizacji wiedzy inspektora), umożliwienie dostępu do innych działów (HR, prawnego itd.) oraz powołanie zespołu IOD, o ile zajdzie taka potrzeba.
Inspektor danych osobowych pełni rolę osoby kontaktowej zarówno z organem nadzorczym, ale także wobec pracowników oraz osób z zewnątrz. Zagwarantowanie łatwości bezpośredniego kontaktu, bez konieczności pośredniczenia poprzez inne podmioty, uzyskuje się dzięki administratorowi, który ma zapewnić opublikowanie danych kontaktowych do IOD. Muszą one zawierać adres korespondencyjny, dedykowany numer telefonu lub dedykowany adres e-mail. Nie jest konieczne, aby podawać imię i nazwisko IOD (art. 37 ust. 7). Natomiast muszą zostać one przekazane do organu nadzorczego (art. 39 ust. 1 lit. e) [9].
Administrator powinien zapewnić odpowiednią niezależność IOD w wykonywaniu jego zadań, co jednak nie oznacza, że inspektor posiada uprawnienia decyzyjne, które wykroczyłyby poza art. 39 RODO. W 2020 r. belgijski organ nadzorczy nałożył karę w wysokości 50 tys. euro na operatora telekomunikacyjnego Proximus SA za uniemożliwienie IOD pełnienia funkcji w sposób niezależny – pracownik wyznaczony na IOD pełnił jednocześnie trzy inne funkcje w spółce. Było to złamanie art. 38 ust. 6 RODO i stanowiło konflikt interesów[10].
Innym przypadkiem wartym wspomnienia jest kara nałożona przez hiszpański organ nadzorczy na spółkę Glovoapp23 S.L. (właściciela popularnej również w Polsce aplikacji Glovo, oferującej m.in. dostarczanie zakupów oraz zamawiania jedzenia z dostawą). Kara wyniosła 25 tys. euro i była efektem braku wyznaczenia IOD przez firmę Glovo, gdy w świetle przepisów RODO miała taki obowiązek. Spółka przetwarzała dane osobowe użytkowników na dużą skalę, ponadto proces ten wiązał się z koniecznością monitorowania użytkowników (geolokalizacja). Zatem według hiszpańskiego organu nadzorczego naruszony został art. 37 ust. 1 lit. b) i c) RODO[11].
Również w 2020 r. UODO nałożył karę na Szkołę Główną Gospodarstwa Wiejskiego w Warszawie w wysokości 50 tys. zł i jako podstawę prawną podał art. 37 ust. 5 oraz art. 39 RODO. Organ nadzorczy podkreślił, że to administrator (SGGW) jest odpowiedzialny za niewykonywanie zadań przez inspektora, gdyż to administrator jest w pełni odpowiedzialny za przestrzeganie bezpieczeństwa danych osobowych. Zatem zatrudnienie IOD, który nie spełnia odpowiednich kwalifikacji zawodowych jest winą administratora. W tym wypadku inspektor nie był również każdorazowo włączany do procesów przetwarzania danych, co mogło mu utrudniać wykonywania zadań[12].
Czy zatem IOD ponosi jakąkolwiek odpowiedzialność? W wypadku zatrudnienia np. na umowę o pracę inspektor może ponosić odpowiedzialność pracowniczą, a w przypadku innej umowy – kontraktową. Wyznaczenie IOD nie zwalnia natomiast administratora danych osobowych ani podmiotu przetwarzającego z odpowiedzialności za przestrzeganie przepisów RODO. IOD nie ponosi osobistej odpowiedzialności w tym zakresie. Jego zadaniem jest wsparcie administratora lub podmiotu przetwarzającego w tym zakresie, ale nie przejmuje on odpowiedzialności.
Wyznaczenie inspektora danych osobowych w przedsiębiorstwie jest kwestią, którą trzeba dokładnie rozważyć, aby nie narazić się na odpowiedzialność w sytuacji, gdy jego wyznaczenie jest obowiązkowe. Wyznaczenie inspektora danych osobowych może być także przydatne dla administratora lub podmiotu przetwarzającego wówczas, gdy zgodnie z przepisami nie ma takiej konieczności. IOD może uporządkować pewne procesy w firmie, doradzić jak prawidłowo je prowadzić i pozytywnie wpłynąć na świadomość pracowników administratora lub podmiotu przetwarzającego w zakresie stosowania RODO. Z tego względu wyznaczenie takiej osoby jest zawsze warte rozważenia.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj, o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj, o profilowaniu zgodnym z RODO tutaj, jak prawidłowo stosować cookies tutaj oraz o kontroli trzeźwości w kontekście ochrony danych tutaj.
[1] Porównaj art. 37 ust. 1 RODO.
[2] Porównaj art. 37 RODO oraz Wytyczne Grupy Roboczej Art. 29 ds. Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych, https://uodo.gov.pl/data/filemanager_pl/15.pdf.
[3] Tamże.
[4] Tamże.
[5] Tamże oraz motyw 97 RODO.
[6] Porównaj: https://commission.europa.eu/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/data-protection-officers/does-my-companyorganisation-need-have-data-protection-officer-dpo_pl.
[7] Wytyczne Grupy Roboczej Art. 29 ds. Ochrony Danych, Wytyczne dotyczące inspektorów ochrony danych, https://uodo.gov.pl/data/filemanager_pl/15.pdf.
[8] Tamże.
[9] Tamże.
[10]„Kara za brak niezależności IOD”, dostęp: https://gdpr.pl/kara-za-brak-niezaleznosci-iod.
[11] „Kara za brak powołania Inspektora Ochrony Danych”, dostęp: https://gdpr.pl/kara-za-brak-powolania-iod.
[12] https://uodo.gov.pl/decyzje/ZSO%C5%9AS.421.25.2019.