Kiedy trzeba wyznaczyć Inspektora Ochrony Danych?

Kto musi wyznaczyć Inspektora Ochrony Danych (IOD)?

Administrator lub podmiot przetwarzający.

Czy każdy administrator lub podmiot przetwarzający muszą wyznaczyć IOD?

Nie każdy.

A czy każdy administrator lub podmiot przetwarzający może go wyznaczyć?

Tak.

Czy warto wyznaczyć u siebie IOD?

I tu typowa odpowiedź prawnika, której nikt nie lubi, a która jednak jest najlepsza – to zależy. Decyzja w sprawie wyznaczenia IOD zależy od wielu czynników.

Oczywiście nie dotyczy to sytuacji, gdy przepisy nakładają na Ciebie taki obowiązek.

Zacznijmy, więc od końca.

Kiedy zatem musimy wyznaczyć IOD?

Unijny ustawodawca określił trzy różne sytuacje, kiedy należy to uczynić.

Po pierwsze, gdy przetwarzania dokonują organ lub podmiot publiczny, za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości – niezależnie od zakresu przetwarzania danych osobowych. Ta sytuacja nas jednak nie interesuje, więc nie będę jej omawiać.

Po drugie, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.

Po trzecie, gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Tutaj zaczynają się już schody, bo czym właściwie jest ta główna działalność? Jak duża musi być skala, żeby można było stwierdzić, że już się kwalifikujemy? I kiedy można mówić o regularnym i systematycznym monitorowaniu?

Dodatkowo polski prawodawca wskazał wprost kategorie podmiotów, które muszą wyznaczyć IOD. Co jednak, kiedy nie podpadamy bezpośrednio pod żądną z tych kategorii, ale nie wiemy czy na zasadach nazwijmy to „ogólnych” nie powinniśmy jednak wyznaczyć IOD.

W sytuacji, gdy nie do końca wiemy, czy powinniśmy wyznaczyć Inspektora, dobrym rozwiązaniem jest przeprowadzenie analizy, która pomoże nam podjąć decyzję, a co ważniejsze – na pytanie, dlaczego nie został wyznaczony Inspektor jesteśmy w stanie przedstawić stosowną analizę i jej wyniki.

Tylko jak przeprowadzić tą analizę?

Musimy najpierw poznać najważniejsze terminy (sformułowania), którymi posługuje się ustawodawca. Na pomoc w tym przychodzą nam motywy RODO, literatura prawnicza oraz wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych.

Główna działalność

Zgodnie z motywem 97 RODO, przetwarzanie danych osobowych uznaje się za główną działalność administratora lub podmiotu przetwarzającego, gdy oznacza jego zasadnicze, a nie poboczne czynności. Inaczej rzecz ujmując, będzie to działalność kluczowa z punktu widzenia osiągnięcia celu, który administrator lub podmiot przetwarzający chce osiągnąć.

Grupa Robocza art. 29 jak przykład podaje szpital, gdzie o ile główną działalnością jest zapewnienie opieki medycznej, to jednak bez przetwarzania danych osobowych o stanie zdrowia pacjenta cel nie mógłby być osiągnięty.

Innym przykładem, który został podany dotyczył podmiotu świadczącego usługi ochrony mienia, który korzystał z monitoringu prywatnych centrów handlowych i przestrzenie publicznej. Oczywiście główną działalnością podmiotu jest ochrona mienia. Niemniej jednak cel nie zostałby osiągnięty bez przetwarzania danych osobowych.

Co ciekawe, ta sama grupa robocza uznała, że co do zasady wszystkie podmioty korzystają z usług podwykonawców, którzy jedynie wspierają główną działalność. Zaliczono do nich: wsparcie obsługi IT, czy zewnętrzną kadrową. W takiej sytuacji, nie można mówić, że przetwarzanie danych osobowych jest główną działalnością.

Jak widać wszystko sprowadza się do pytania czy bez takiego przetwarzania danych osobowych jestem w stanie prowadzić swoją działalność i osiągnę swój cel gospodarczy.

W przypadku bloggera, który korzysta z usług firmy marketingowej nie możemy uznać, że jego główną działalnością jest reklama behawioralna, ALE w działalność firmy marketingowej reklama behawioralna i związane z nią przetwarzanie danych osobowych wpisuje się w główną działalność.

Ale to jednak nie koniec. Nasza główna działalność musi niejako „wymuszać” na nas konieczność regularnego i systematycznego monitorowania osób, których dane osobowe przetwarzamy na dużą skalę (o dużej skali będzie później). A prościej, musimy (1) przetwarzać dane osobowe ze względu na ich charakter, ich zakres lub cel, aby osiągnąć nasz cel gospodarczy i (2) musimy robić to regularnie i systematycznie (3) na dużą skalę.

Regularne i systematyczne monitorowanie

No dobrze, ale kiedy można mówić o „regularnym i systematycznym monitorowaniu”? Nie, nie znajdziesz definicji w przepisach RODO, ale jak zawsze pomocne są motywy RODO.

Motyw 24 RODO, podpowiada, aby można było stwierdzić czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

Aby nieco utrudnić Grupa Robocza Art. 29 podkreśliła, że istnieje różnica między pojęciami „monitorowaniem zachowania”, a „regularnym i systematycznym monitorowaniem”.

Czym jest zatem „regularne”, a czym „systematyczne” monitorowanie?

Regularne	Systematyczne
Stałe albo występujące w określonych odstępach czasu przez ustalony okres	Występuje zgodnie z określonym systemem
Cykliczne albo powtarzające się w określonym terminie	Zaaranżowane, zorganizowane lub metodyczne
Odbywające się stale lub okresowo	Odbywającego się w ramach generalnego planu zbierania danych
	Przeprowadzone w ramach określonej strategii

No, a teraz na przykładach. Działania, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą:

Obsługa sieci telekomunikacyjnej
Świadczenie usług telekomunikacyjnych
Przekierowanie poczty elektronicznej
Działania marketingowe oparte na danych
Profilowanie i ocenianie dla celów oceny ryzyka np. kredytowego, ustawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania brudnych pieniędzy
Śledzenie lokalizacji, np. przez aplikacje mobilne, programy lojalnościowe
Reklama behawioralna
Monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych
Monitoring wizyjny
Urządzenia skomunikowane, np. inteligentne liczniki, inteligentne samochody, automatyka domowa
Wykorzystywanie systemu kamer do monitorowania zachowania kierowców na autostradzie
Monitorowanie działań pracownika na stanowisku pracy, czy w Internecie
Przetwarzanie danych osobowych swoich pracowników

W ocenie Grupy Roboczej Art. 29 działanie związane z przetwarzaniem można uznać za „sporadyczne” tylko wtedy, gdy nie jest ono przeprowadzane regularnie i ma miejsce poza zwykłą działalnością lub działalnością administratora lub podmiotu przetwarzającego.

Jeżeli nawet dojdziemy do przekonania, że nasza główna działalność polega na przetwarzaniu danych osobowych i wymaga ona regularnego i systematycznego monitorowania osób, to należy zastanowić się czy przetwarzanie odbywa się na dużą skalę.

Duża skala

Na pytanie czym jest duża skala pośrednio odpowiada nam motyw 91 RODO, choć nie do końca.

Z jednej strony, bowiem czytamy, że operacjami przetwarzania o dużej skali są te, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw.

Z drugiej jednak strony, ustawodawca unijny podaje, że nie można mówić o przetwarzaniu danych osobowych na dużą skalę, jeżeli dotyczy danych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

I teraz powinno paść pytanie – jak jeden prawnik to nie jest duża skala, a jak mamy spółkę cywilną, czyli prawników jest co najmniej dwóch, no ale dalej jeden administrator danych osobowych, to już duża skala czy nadal jeszcze nie? I tutaj znowu – to zależy. Na szczęście, Grupa Robocza art. 29 wskazała kryteria jakie należy wziąć pod uwagę przy ustalaniu czy mamy do czynienia z dużą skalą.

A o to 4 główne kryteria:

Konkretna liczba lub procent określonej grupy społeczeństwa
Zakres przetwarzania danych osobowych
Okres przez jaki dane osobowe są przetwarzane
Zakres geograficzny przetwarzania danych osobowych

Pomimo wskazania kryteriów ustalenie czy mamy do czynienia z dużą skalą dalej może budzić wątpliwości. Na szczęście w literaturze można znaleźć przykłady.

DUŻA SKALA

Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności

Przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej

Przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych

Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności

Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki

Przetwarzanie danych dotyczących treści, ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych

Przetwarzanie danych przez firmy marketingowe w ramach świadczenia usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu

Wymiana danych pomiędzy administratorami danych sektora publicznego poprzez sieci elektroniczne

Gromadzenie informacji genealogicznych na temat rodzin osób należących do konkretnej grupy wyznaniowej

Tworzenie bardzo dużych baz danych dotyczących stylu życia w celach marketingowych

Rejestrowanie przez partie polityczne sondaży dotyczących głosowania bardzo dużej liczby głosujących w całym narodzie i kraju na podstawie wywiadów prowadzonych bezpośrednio w domach i późniejszej analizy

Gromadzenie danych z publicznych mediów społecznościowych do generowania profili

Magazyn online wykorzystujący listę mailingową do wysyłania codziennej porcji ogólnych wiadomości do swoich abonentów za ich zgodą z uwzględnieniem łatwej możliwości rezygnacji

Oczywiście nie otrzymaliśmy konkretnej odpowiedzi – tak albo nie. Niemniej jednak na podstawie takich informacji jesteśmy w stanie już powiedzieć czy bliżej nam do szpitala czy jednak do prawnika prowadzącego jednoosobową działalność. Musisz wiedzieć, że dla oceny dużej skali istotne jest także czy przetwarzanie danych odbywa się przez dłuższy czas, czy tylko sporadyczne. Aby można było mówić o konieczność wyznaczenia IOD muszą wystąpić łącznie omówione przeze mnie 3 elementy, czyli: główna działalność, regularne i systematyczne przetwarzanie oraz duża skala przetwarzania.

Szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych

Z uwagi na trzeci przypadek, kiedy trzeba wyznaczyć IOD, należy jeszcze wspomnieć o szczególnej kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, których przetwarzanie na „dużą” skalę może powodować konieczność wyznaczenia IOD.

Przede wszystkim, należy podkreślić, że podmiot będzie zobowiązany do wyznaczenia IOD, jeżeli przetwarza na dużą skalę wyłącznie szczególną kategorię danych osobowych, wyłącznie dane osobowe dotyczących wyroków skazujących lub czynów zabronionych albo też przetwarza na dużą skalę oba „rodzaje” tych danych.

Kategoria danych osobowych dotyczących wyroków skazujących i czynów zabronionych odnosi się do wyroków z art. 413 § 2 Kodeksu postępowania karnego lub z art. 82 Kodeksu postępowania w sprawach o wykroczenia. Za wyrok skazujący nie można zatem uznać wyroku umarzającego, warunkowo umarzającego postępowanie czy wyroku uniewinniającego. Jeżeli chodzi o czyn zabroniony, to chodzi m.in. o mandaty karne.

Kategorie danych osobowych wrażliwych zostały określone w art. 9 ust. 1 RODO i mają charakter zamknięty, czyli już nic nie można tam dodać. Do szczególnych kategorii danych osobowych zaliczono:

pochodzenie rasowe lub etniczne,
poglądy polityczne,
przekonania religijne lub światopoglądowe,
przynależność do związków zawodowych,
dane genetyczne,
dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
dane dotyczące zdrowia,
dane dotyczące seksualności lub orientacji seksualnej osoby.

Na koniec przypomnę, że podmiot, który wyznaczył inspektora, udostępnia jego dane wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

I nie zapomnij zawiadomić Prezesa Urzędu Ochrony Danych, że wyznaczyłeś IOD. Masz na to 14 dni od dnia wyznaczenia IOD.

Źródła:

Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.).
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2019 r., poz. 1781).
Wytyczne Grupy Roboczej art. 29 dotyczące inspektorów ochrony danych, https://uodo.gov.pl/pl/10/7, 27.05.2020 r.
D. Korff, M. Georges, Podręcznik Inspektora Ochrony Danych. Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasi-publicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym rozporządzeniem o ochronie danych.
Czy należy wyznaczyć IOD w niepublicznym zakładzie opieki zdrowotnej mając około 2 000 pacjentów?, https://uodo.gov.pl/pl/223/613, 27.05.2020 r.

Cookie	Czas przechowywania	Opis
cookielawinfo-checkbox-analytics	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Analityczne”.
cookielawinfo-checkbox-necessary	1 rok	Ten plik cookie, ustawiony przez wtyczkę GDPR Cookie Consent, służy do rejestrowania zgody użytkownika na pliki cookie w kategorii „Niezbędne”.
mailerlite:webform:shown		Plik cookie używany przez formularz zapisu na newsletter do określenia, czy formularz zapisu na newsletter został już wyświetlonwy użytkownikowi odwiedzającemu stronę.
viewed_cookie_policy	1 rok	Plik cookie jest ustawiany przez wtyczkę GDPR Cookie Consent w celu przechowywania informacji, czy użytkownik wyraził zgodę na korzystanie z plików cookie (żadne dane osobowe nie są zapisywane ani przechwowane).

Cookie	Czas przechowywania	Opis
_ga	2 lata	Plik cookie _ga, instalowany przez Google Analytics, oblicza dane dotyczące odwiedzających, sesji i kampanii, a także śledzi wykorzystanie witryny na potrzeby raportu analitycznego witryny. Plik cookie przechowuje informacje anonimowo i przypisuje losowo wygenerowany numer w celu rozpoznania unikalnych użytkowników.
_ga_BKFR6CLJT3	2 lata	Plik cookie wykorzystywany przez usługę Google Analytics.
_gat_gtag_UA_199300153_1	1 minuta	Wykorzystywany przez usługę Google Analytics do rozróżniania użytkowników.
_gid	1 dzień	Instalowany przez Google Analytics plik cookie _gid przechowuje informacje o tym, w jaki sposób odwiedzający korzystają ze strony internetowej, jednocześnie tworząc raport analityczny dotyczący wydajności strony internetowej. Niektóre gromadzone dane obejmują liczbę odwiedzających, ich źródło i strony, które odwiedzają anonimowo.

Kiedy trzeba wyznaczyć Inspektora Ochrony Danych?

Szybkie Linki

Specjalizacje

Kontakt