Inspektor ochrony danych osobowych – 10 rzeczy, które powinien wiedzieć przedsiębiorca przy wyznaczaniu IOD 

Inspektor ochrony danych osobowych jako nieuzasadniony wydatek – czasami wręcz tak traktowana jest postać osoby, która de facto może stanowić pomocnika stojącego na straży rozporządzenia o ochronie danych osobowych, bezpieczeństwa informacji i skarbnika wiedzy fachowej przepisów o ochronie danych. Dlaczego warto go posiadać w swojej organizacji, a przede wszystkim, czym się kierować przy wyznaczaniu go? Kto ma obowiązek wyznaczenia IOD? Co zalicza się do obowiązków inspektora ochrony danych? A jakie obowiązki posiada administrator?    

1. Kim jest inspektor ochrony danych osobowych? Nie w każdym przypadku administrator będzie miał obowiązek wyznaczenia w przedsiębiorstwie inspektora danych osobowych, lecz nie ulega wątpliwości, że posiadania odpowiednio przeszkolonej osoby na tym stanowisku stanowi ogromne wsparcie, w szczególności, gdy przetwarzanie danych osobowych jest jednym z głównych zadań administratora danych osobowych. Może być to ktoś wyznaczony z firmy lub też może być to podmiot zewnętrzny wykonujący zadania na podstawie umowy o świadczenie usług (art. 37 RODO). Nie każdy jednak może zostać inspektorem ochrony danych. IOD musi posiadać odpowiednie kwalifikacje zawodowe, według których jest wyznaczany. W szczególności musi posiadać stosowną wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych.  Powinien posiadać:
   • wiedzę na temat krajowych i europejskich przepisów i praktyk w zakresie ochrony danych osobowych, w tym dogłębnego zrozumienia RODO;
   • zrozumienie i wiedzę na temat procesu przetwarzania danych osobowych;
   • zrozumienie technologii informacyjnych i bezpieczeństwa danych;
   • znajomość sektora biznesowego i organizacji;
   • umiejętność promowania kultury ochrony danych w organizacji.
   Inspektor musi wykonywać swoje obowiązki z należytą starannością, tak aby pomoc w zakresie przestrzegania RODO mogła służyć administratorowi w celu podejmowania odpowiednich decyzji.   Inspektor danych osobowych powinien ponadto pełnić swoje obowiązki i zadania w sposób niezależny – nie może on choćby pełnić innej funkcji w przedsiębiorstwie jednocześnie będąc IOD-em. Niezależność IOD jest bardzo ważna, ponieważ pozwala mu pełnić obowiązki w sposób obiektywny i bezstronny.
2. Kiedy występuje konieczność powołania inspektora ochrony danych osobowych? Istnieją przypadki, w których wyznaczenie inspektora danych osobowych jest konieczne. Reguluje to art. 37 RODO. Z jednej strony dotyczy to podmiotów publicznych – kiedy przetwarzania dokonuje organ lub podmiot publiczny (wyjątkiem są sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości). Z drugiej strony sprawa dotyczy już szerszego grona, to znaczy sektora prywatnego. Obowiązek wyznaczenia IOD-a występuje w sytuacji, gdy:
   • główną działalnością administratora lub podmiotu przetwarzania są operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
   • główną działalnością administratora lub podmiotu przetwarzającego jest przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (z art. 9 RODO) albo danych, które dotyczą wyroków skazujących i czynów zabronionych (z art. 10 RODO).
   Do szczególnych kategorii danych osobowych z art. 9 należą: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby. Powyższe kryteria mają w dużej mierze charakter oceny i uzależnione są od konkretnej sytuacji. Z tego względu administrator musi przeanalizować prowadzoną przez siebie działalność pod kątem spełnienia powyższych przesłanek. W tym zakresie możemy posiłkować się Wytycznymi dotyczącymi inspektorów ochrony danych, wydanymi przez Grupę Roboczą Art. 29.
3. Czym jest przetwarzanie na duża skalę? Według Grupy Roboczej Art. 29 w celu ustalenia w większym przedsiębiorstwie, czy dochodzi do przetwarzania na duża skalę powinno się brać pod uwagę kilka aspektów, jak np.: liczba osób, których dane dotyczą, zakres geograficzny przetwarzania danych osobowych oraz zakres przetwarzanych danych, a także okres, przez jaki te dane są przetwarzane.  Przetwarzanie na duża skalę będzie dotyczyć szpitala, który przetwarza dane pacjentów w ramach prowadzonej działalności, ale nie będzie to już przetwarzanie danych przez pojedynczego lekarza. Przetwarzaniem na dużą skalę będzie też np. przetwarzanie danych osobowych klientów przez banki czy też ubezpieczycieli.
4. Co oznacza „główna działalność administratora”? Główna działalność administratora danych oznacza kluczowe operacje, jakie muszą być podejmowane przez administratora, aby mógł osiągnąć on swoje cele. Przetwarzanie danych musi stanowić jego zasadniczą działalność, a nie czynności podejmowane dodatkowo. Wspomniany powyżej szpital przetwarzana dane dotyczące zdrowia pacjentów, co stanowi jego główną działalność.
5. Co to jest regularne i systematyczne monitorowanie? Cechy regularnego i systematycznego monitorowania również omawia Grupa Robocza Art. 29. Występuje ono, między innymi, w świadczeniu usług telekomunikacyjnych, profilowaniu i ocenianiu ryzyka, śledzeniu lokalizacji czy programach lojalnościowych. Według Grupy Roboczej, działanie regularne powinno mieć cechy:
   • stałego lub podejmowanego w regularnych odstępach czasu;
   • cyklicznego lub powtarzającego się w określonych momentach;
   • było prowadzone stale lub okresowo.
   Działanie systematyczne rozumieją natomiast jako jedno lub więcej z cech:
   • musi występować zgodnie z określonym systemem;
   • musi być zorganizowane, metodyczne lub być zaaranżowane;
   • musi odbywać się według danego planu zbierania danych;
   • musi odbywać się w ramach danej strategii.
6. Jakie są zadania inspektora ochrony danych osobowych?·        
7.  powinien informować administratora danych, podmiot przetwarzający i pracowników, którzy przetwarzają dane osobowe o ich obowiązkach wynikających z RODO oraz innych przepisów UE lub państw członkowskich o ochronie danych oraz powinien doradzać im w tej sprawie;
   • ma posiadać fachową wiedzę na temat przetwarzania danych oraz najlepiej, aby znał sektor, w jakim dane przedsiębiorstwo prowadzi działalność gospodarczą;
   • musi stać na straży, czyli monitorować przestrzeganie RODO, innych przepisów UE lub państw członkowskich, a także polityk administratora lub też podmiotu przetwarzającego w dziedzinie ochrony danych osobowych: podział obowiązków, działania zwiększające świadomość, szkolenia personelu, który uczestniczy w operacjach przetwarzania oraz powiązane z tym audyty;
   • ma udzielać na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorować jej wykonanie zgodnie z art. 35 RODO;
   • ma współpracować z organem nadzorczym oraz ma się z nim kontaktować;
   • jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem UE lub prawem państwa członkowskiego.
   Podsumowując, IOD zajmuje się w przedsiębiorstwie wieloma sprawami z obszaru ochrony danych osobowych, m.in. wspiera administratora w przygotowaniu odpowiednich dokumentów, przedstawia swoje zalecenia i rekomendacje odnośnie odpowiedniego postępowania, prowadzi szkolenia związane z ochroną danych osobowych.
8. Jakie są zadania administratora wobec inspektora danych osobowych? Zgodnie z art. 39 RODO   inspektor danych osobowych: ·   ma obowiązek konsultowania się z inspektorem przy dokonywaniu oceny skutków dla ochrony danych ;
   • powinien skonsultować metodę, jaką należy zastosować przy przeprowadzaniu tej oceny;
   • powinien zasięgnąć opinii inspektora w sprawie ustalenia, jakie gwarancje należy zastosować w celu ograniczenia wszelkiego rodzaju zagrożeń dla praw i interesów osób, których dane dotyczą;
   • powinien skonsultować się z inspektorem w kwestii ustaleń, czy ocena skutków dla ochrony danych została przeprowadzona w prawidłowy sposób;
   • w wypadku, gdy administrator danych nie zgadza się z opinią IOD-a w kwestii oceny skutków dla ochrony danych, powinien pisemnie uzasadnić swoją decyzję;
   • musi odpowiednio wcześnie udostępniać inspektorowi niezbędne informacje, które dotyczą przetwarzania danych, aby miał on czas zapoznać się z nimi;
   • powinien zapewnić inspektorowi pełne wsparcie kadry kierowniczej, a także wsparcie finansowe i infrastrukturalne oraz dostęp do innych działów;
   • musi zapewnić łatwy, bezpośredni kontakt z inspektorem wszystkim pracownikom oraz organowi nadzorczemu – należy podać adres korespondencyjny, numer telefonu, adres e-mail, ponadto imię i nazwisko inspektora musi być przekazane do organu nadzorczego.
   Administrator musi zatem współpracować z inspektorem ochrony danych  na wielu płaszczyznach – powinien z nim konsultować wszelkie informacje w związku z przetwarzaniem danych osobowych, a także zapewnić mu współpracę całej organizacji, co umożliwi mu wykonywanie swoich obowiązków.
9. Czy jeden IOD może być wyznaczony dla wielu podmiotów? Zgodnie z przepisami RODO inspektor danych osobowych może pełnić swoją funkcję w więcej niż w jednym miejscu. Grupa przedsiębiorstw może wyznaczyć wspólnego IOD-a. Prawidłowe wykonywanie obowiązków przez administratora jest w dużej mierze uzależnione z łatwym kontaktem z nim przez pracowników przedsiębiorstw czy też organy nadzorcze. Dlatego tak ważne jest, aby administratorzy zadbali o pełne i prawidłowe udostępnienie danych kontaktowych do swoich IOD-ów.
10. Kto odpowiada za nieprzestrzeganie wymogów RODO dotyczących ochrony danych w przedsiębiorstwie? Inspektor ochrony danych nie jest osobiście odpowiedzialny za przestrzeganie przepisów, które dotyczą ochrony danych osobowych. Za zgodność z nimi odpowiedzialny jest administrator oraz podmiot przetwarzający. Mają oni obowiązek wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z wymogami RODO. Mogą oni korzystać z pomocy fachowca w postaci inspektora. W wypadku postępowania wbrew zaleceniom inspektora ochrony danych będą musieli udokumentować swój wybór i odpowiednio go uzasadnić.
11. Jakie są kary od organów nadzorczych za niespełnienie obowiązku powołania inspektora ochrony danych osobowych? Administrator musi wyznaczyć inspektora ochrony danych osobowych w wymienionych w rozporządzeniu przypadkach, a ponadto jeśli wyznaczył go, także w ramach własnej dobrowolnej decyzji, musi mu umożliwić niezależne działanie. IOD nie jest jednak organem decyzyjnym. Nie ponosi on odpowiedzialności za zgodne z przepisami przetwarzanie ochrony danych osobowych  w przedsiębiorstwie, choć oczywiście może on ponieść odpowiedzialność pracowniczą, lub, w przypadku świadczenia usług na podstawie umowy cywilnoprawnej, kontraktową.   W Polsce kary za brak wyznaczenia inspektora wyznacza prezes Urzędu Ochrony Danych Osobowych. Obowiązek ten wiąże się nie tylko z samym wyznaczeniem, ale również z umieszczeniem danych kontaktowych inspektora, sporządzenia odpowiednich procedur jego funkcjonowania czy tez braku skierowania zawiadomienia do organu nadzorczego (Urzędu Ochrony Danych Osobowych).     Europejskie organy nadzorcze wydawały już niejednokrotnie decyzje o ukaraniu przedsiębiorstw w tej kwestii. W Belgii nałożył karę w wysokości 50 tys. euro na spółkę, gdzie pracownik będący inspektorem ochrony danych pełnił w firmie trzy różne funkcje. Administrator w sten sposób uniemożliwiał działanie inspektora w sposób niezależny. W Hiszpanii firma Glovoapp23 S.L. dostała karę 25 tys. euro za brak wyznaczenia IOD-a. IOD – podsumowanie Inspektor ochrony danych osobowych może być dla przedsiębiorcy realnym wsparciem przy prowadzeniu działalności. IOD nie tylko przygotuje odpowiednie polityki (np. procedurę ochrony danych osobowych, rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania itp.), ale także przeprowadzi szkolenie RODO, czy zaproponuje konkretne rozwiązanie biznesowe w zgodzie z RODO. Z tego względu warto rozważyć powołanie IOD nawet w sytuacji, gdy na gruncie przepisów nie będzie to obowiązkowe.