Kiedy trzeba wyznaczyć Inspektora Ochrony Danych?

Kto musi wyznaczyć Inspektora Ochrony Danych (IOD)?

Administrator lub podmiot przetwarzający.

Czy każdy administrator lub podmiot przetwarzający muszą wyznaczyć IOD?

Nie każdy.

A czy każdy administrator lub podmiot przetwarzający może go wyznaczyć?

Tak.

Czy warto wyznaczyć u siebie IOD?

 I tu typowa odpowiedź prawnika, której nikt nie lubi, a która jednak jest najlepsza – to zależy. Decyzja w sprawie wyznaczenia IOD zależy od wielu czynników.

Oczywiście nie dotyczy to sytuacji, gdy przepisy nakładają na Ciebie taki obowiązek.

Zacznijmy, więc od końca.

Kiedy zatem musimy wyznaczyć IOD?

Unijny ustawodawca określił trzy różne sytuacje, kiedy należy to uczynić.

Po pierwsze, gdy przetwarzania dokonują organ lub podmiot publiczny, za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości – niezależnie od zakresu przetwarzania danych osobowych. Ta sytuacja nas jednak nie interesuje, więc nie będę jej omawiać.

Po drugie, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.

Po trzecie, gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Tutaj zaczynają się już schody, bo czym właściwie jest ta główna działalność? Jak duża musi być skala, żeby można było stwierdzić, że już się kwalifikujemy? I kiedy można mówić o regularnym i systematycznym monitorowaniu?

Dodatkowo polski prawodawca wskazał wprost kategorie podmiotów, które muszą wyznaczyć IOD. Co jednak, kiedy nie podpadamy bezpośrednio pod żądną z tych kategorii, ale nie wiemy czy na zasadach nazwijmy to „ogólnych” nie powinniśmy jednak wyznaczyć IOD.

W sytuacji, gdy nie do końca wiemy, czy powinniśmy wyznaczyć Inspektora, dobrym rozwiązaniem jest przeprowadzenie analizy, która pomoże nam podjąć decyzję, a co ważniejsze – na pytanie, dlaczego nie został wyznaczony Inspektor jesteśmy w stanie przedstawić stosowną analizę i jej wyniki.

Tylko jak przeprowadzić tą analizę?

Musimy najpierw poznać najważniejsze terminy (sformułowania), którymi posługuje się ustawodawca. Na pomoc w tym przychodzą nam motywy RODO, literatura prawnicza oraz wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych.

Główna działalność

Zgodnie z motywem 97 RODO, przetwarzanie danych osobowych uznaje się za główną działalność administratora lub podmiotu przetwarzającego, gdy oznacza jego zasadnicze, a nie poboczne czynności. Inaczej rzecz ujmując, będzie to działalność kluczowa z punktu widzenia osiągnięcia celu, który administrator lub podmiot przetwarzający chce osiągnąć.

Grupa Robocza art. 29 jak przykład podaje szpital, gdzie o ile główną działalnością jest zapewnienie opieki medycznej, to jednak bez przetwarzania danych osobowych o stanie zdrowia pacjenta cel nie mógłby być osiągnięty.

Innym przykładem, który został podany dotyczył podmiotu świadczącego usługi ochrony mienia, który korzystał z monitoringu prywatnych centrów handlowych i przestrzenie publicznej. Oczywiście główną działalnością podmiotu jest ochrona mienia. Niemniej jednak cel nie zostałby osiągnięty bez przetwarzania danych osobowych.

Co ciekawe, ta sama grupa robocza uznała, że co do zasady wszystkie podmioty korzystają z usług podwykonawców, którzy jedynie wspierają główną działalność. Zaliczono do nich: wsparcie obsługi IT, czy zewnętrzną kadrową. W takiej sytuacji, nie można mówić, że przetwarzanie danych osobowych jest główną działalnością.

Jak widać wszystko sprowadza się do pytania czy bez takiego przetwarzania danych osobowych jestem w stanie prowadzić swoją działalność i osiągnę swój cel gospodarczy.

W przypadku bloggera, który korzysta z usług firmy marketingowej nie możemy uznać, że jego główną działalnością jest reklama behawioralna, ALE w działalność firmy marketingowej reklama behawioralna i związane z nią przetwarzanie danych osobowych wpisuje się w główną działalność.

Ale to jednak nie koniec. Nasza główna działalność musi niejako „wymuszać” na nas konieczność regularnego i systematycznego monitorowania osób, których dane osobowe przetwarzamy na dużą skalę (o dużej skali będzie później). A prościej, musimy (1) przetwarzać dane osobowe ze względu na ich charakter, ich zakres lub cel, aby osiągnąć nasz cel gospodarczy i (2) musimy robić to regularnie i systematycznie (3) na dużą skalę.

Regularne i systematyczne monitorowanie

No dobrze, ale kiedy można mówić o „regularnym i systematycznym monitorowaniu”? Nie, nie znajdziesz definicji w przepisach RODO, ale jak zawsze pomocne są motywy RODO.

Motyw 24 RODO, podpowiada, aby można było stwierdzić czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

Aby nieco utrudnić Grupa Robocza Art. 29 podkreśliła, że istnieje różnica między pojęciami „monitorowaniem zachowania”, a „regularnym i systematycznym monitorowaniem”.

Czym jest zatem „regularne”, a czym „systematyczne” monitorowanie?

Regularne Systematyczne
Stałe albo występujące w określonych odstępach czasu przez ustalony okres Występuje zgodnie z określonym systemem
Cykliczne albo powtarzające się w określonym terminie Zaaranżowane, zorganizowane lub metodyczne
Odbywające się stale lub okresowo Odbywającego się w ramach generalnego planu zbierania danych
  Przeprowadzone w ramach określonej strategii

No, a teraz na przykładach. Działania, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą:

  • Obsługa sieci telekomunikacyjnej
  • Świadczenie usług telekomunikacyjnych
  • Przekierowanie poczty elektronicznej
  • Działania marketingowe oparte na danych
  • Profilowanie i ocenianie dla celów oceny ryzyka np. kredytowego, ustawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania brudnych pieniędzy
  • Śledzenie lokalizacji, np. przez aplikacje mobilne, programy lojalnościowe
  • Reklama behawioralna
  • Monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych
  • Monitoring wizyjny
  • Urządzenia skomunikowane, np. inteligentne liczniki, inteligentne samochody, automatyka domowa
  • Wykorzystywanie systemu kamer do monitorowania zachowania kierowców na autostradzie
  • Monitorowanie działań pracownika na stanowisku pracy, czy w Internecie
  • Przetwarzanie danych osobowych swoich pracowników

W ocenie Grupy Roboczej Art. 29 działanie związane z przetwarzaniem można uznać za „sporadyczne” tylko wtedy, gdy nie jest ono przeprowadzane regularnie i ma miejsce poza zwykłą działalnością lub działalnością administratora lub podmiotu przetwarzającego.

Jeżeli nawet dojdziemy do przekonania, że nasza główna działalność polega na przetwarzaniu danych osobowych i wymaga ona regularnego i systematycznego monitorowania osób, to należy zastanowić się czy przetwarzanie odbywa się na dużą skalę.

Duża skala

Na pytanie czym jest duża skala pośrednio odpowiada nam motyw 91 RODO, choć nie do końca.

Z jednej strony, bowiem czytamy, że operacjami przetwarzania o dużej skali są te, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw.

Z drugiej jednak strony, ustawodawca unijny podaje, że nie można mówić o przetwarzaniu danych osobowych na dużą skalę, jeżeli dotyczy danych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

I teraz powinno paść pytanie – jak jeden prawnik to nie jest duża skala, a jak mamy spółkę cywilną, czyli prawników jest co najmniej dwóch, no ale dalej jeden administrator danych osobowych, to już duża skala czy nadal jeszcze nie? I tutaj znowu – to zależy. Na szczęście, Grupa Robocza art. 29 wskazała kryteria jakie należy wziąć pod uwagę przy ustalaniu czy mamy do czynienia z dużą skalą.

A o to 4 główne kryteria:

  • Konkretna liczba lub procent określonej grupy społeczeństwa
  • Zakres przetwarzania danych osobowych
  • Okres przez jaki dane osobowe są przetwarzane
  • Zakres geograficzny przetwarzania danych osobowych

Pomimo wskazania kryteriów ustalenie czy mamy do czynienia z dużą skalą dalej może budzić wątpliwości. Na szczęście w literaturze można znaleźć przykłady.

  DUŻA SKALA  
Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności
Przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej
Przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych
Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności
Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki
Przetwarzanie danych dotyczących treści, ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych
Przetwarzanie danych przez firmy marketingowe w ramach świadczenia usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu
Wymiana danych pomiędzy administratorami danych sektora publicznego poprzez sieci elektroniczne
Gromadzenie informacji genealogicznych na temat rodzin osób należących do konkretnej grupy wyznaniowej
Tworzenie bardzo dużych baz danych dotyczących stylu życia w celach marketingowych
Rejestrowanie przez partie polityczne sondaży dotyczących głosowania bardzo dużej liczby głosujących w całym narodzie i kraju na podstawie wywiadów prowadzonych bezpośrednio w domach i późniejszej analizy
Gromadzenie danych z publicznych mediów społecznościowych do generowania profili
Magazyn online wykorzystujący listę mailingową do wysyłania codziennej porcji ogólnych wiadomości do swoich abonentów za ich zgodą z uwzględnieniem łatwej możliwości rezygnacji

Oczywiście nie otrzymaliśmy konkretnej odpowiedzi – tak albo nie. Niemniej jednak na podstawie takich informacji jesteśmy w stanie już powiedzieć czy bliżej nam do szpitala czy jednak do prawnika prowadzącego jednoosobową działalność. Musisz wiedzieć, że dla oceny dużej skali istotne jest także czy przetwarzanie danych odbywa się przez dłuższy czas, czy tylko sporadyczne. Aby można było mówić o konieczność wyznaczenia IOD muszą wystąpić łącznie omówione przeze mnie 3 elementy, czyli: główna działalność, regularne i systematyczne przetwarzanie oraz duża skala przetwarzania.

Szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych

Z uwagi na trzeci przypadek, kiedy trzeba wyznaczyć IOD, należy jeszcze wspomnieć o szczególnej kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, których przetwarzanie na „dużą” skalę może powodować konieczność wyznaczenia IOD.

Przede wszystkim, należy podkreślić, że podmiot będzie zobowiązany do wyznaczenia IOD, jeżeli przetwarza na dużą skalę wyłącznie szczególną kategorię danych osobowych, wyłącznie dane osobowe dotyczących wyroków skazujących lub czynów zabronionych albo też przetwarza na dużą skalę oba „rodzaje” tych danych.

Kategoria danych osobowych dotyczących wyroków skazujących i czynów zabronionych odnosi się do wyroków z art. 413 § 2 Kodeksu postępowania karnego lub z art. 82 Kodeksu postępowania w sprawach o wykroczenia. Za wyrok skazujący nie można zatem uznać wyroku umarzającego, warunkowo umarzającego postępowanie czy wyroku uniewinniającego. Jeżeli chodzi o czyn zabroniony, to chodzi m.in. o mandaty karne.

Kategorie danych osobowych wrażliwych zostały określone w art. 9 ust. 1 RODO i mają charakter zamknięty, czyli już nic nie można tam dodać. Do szczególnych kategorii danych osobowych zaliczono:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia,
  • dane dotyczące seksualności lub orientacji seksualnej osoby.

Na koniec przypomnę, że podmiot, który wyznaczył inspektora, udostępnia jego dane wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

I nie zapomnij zawiadomić Prezesa Urzędu Ochrony Danych, że wyznaczyłeś IOD. Masz na to 14 dni od dnia wyznaczenia IOD.

Źródła:

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
  2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2019 r., poz. 1781).
  3. Wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych, https://uodo.gov.pl/pl/10/7, 27.05.2020 r.
  4. D. Korff, M. Georges, Podręcznik Inspektora Ochrony Danych. Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasi-publicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym rozporządzeniem o ochronie danych.
  5. Czy należy wyznaczyć IOD w niepublicznym zakładzie opieki zdrowotnej mając około 2 000 pacjentów?, https://uodo.gov.pl/pl/223/613, 27.05.2020 r.