Kto ma obowiązek powołania inspektora ochrony danych

Instytucja inspektora ochrony danych (dalej również „IOD”) uregulowana jest obecnie w Rozporządzeniu Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we, powszechnie określanym jako „RODO”, które weszło w życie 25 maja 2018 r.

Jakie zadania ma inspektor ochrony danych

Na kanwie obowiązujących przepisów inspektor ochrony danych jest osobą fizyczną, która wspiera administratora[1] oraz ew. podmiot przetwarzający[2] w nadzorze co do przestrzegania przepisów RODO. Zgodnie z treścią art. 39 ust. 1 RODO do zadań inspektora ochrony danych należy:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów,
• monitorowanie przestrzegania RODO, innych przepisów oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych,
• udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania tychże zaleceń
• współpraca z organem nadzorczym[3],
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego.

Wysokie kary za niedopełnienie obowiązku powołania IOD

W perspektywie prowadzenia działalności gospodarczej za kluczową kwestię należy uznać precyzyjne ustalenie, czy na podmiocie prowadzącym działalność gospodarczą – spółce lub osobie fizycznej prowadzącej jednoosobową działalność gospodarczą – ciąży obowiązek wyznaczenie inspektora ochrony danych oraz zawiadomienia o tym fakcie organu nadzorczego, którym w polskich realiach jest Prezesa Urzędu Ochrony Danych Osobowych. Zgodnie bowiem z dyspozycją art. 83 ust. 4 lit. a) RODO Naruszenie tego obowiązku może bowiem skutkować nałożeniem na podmiot przetwarzający kary pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Obligatoryjne powołanie inspektora ochrony danych

Przypadki, w których wyznaczenie inspektora ochrony danych jest obligatoryjne, uregulowane są w art. 37 ust. 1 RODO. Obejmują one sytuacje, w których:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

Dla podmiotów prowadzących działalność gospodarczą przetwarzających dane osobowe, kluczowe znaczenie ma przypadek ujęty w art. 37 ust. 1 lit. b) RODO. Pozostałe przesłanki odnoszą się bowiem do organów i podmiotów publicznych oraz przypadków przetwarzania danych osobowych szczególnego rodzaju[4], które typowo pozostają poza zakresem przetwarzania przez podmioty prowadzących działalność gospodarczą.

Art. 37 ust. 1 lit. b) RODO znajduje zastosowanie do przypadków, gdy łącznie spełnione są następujące przesłanki:

• działalność administratora lub podmiotu przetwarzającego stanowi jego działalność główną;
• operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą;
• operacje przetwarzania dokonywane są na dużą skalę.

Powołanie IOD a zakres działalności

Weryfikacja tego, czy prowadzona działalność wiąże się z obowiązkiem powołania Inspektora Ochrony Danych wymaga każdorazowo uwzględnienia konkretnej sytuacji faktycznej, w tym w szczególności modelu prowadzenia działalności przez przedsiębiorcę (administratora).

Ograniczając się w tym miejscu do uwag o ogólnym charakterze, można jednak przynajmniej częściowo rozjaśnić znaczenie ww. przesłanek z art. 37 ust. 1 lit. b) RODO. Motyw 97 preambuły RODO wyjaśnia, że w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. W tym kontekście w doktrynie wskazuje się, że dotyczy to sytuacji, w których „przetwarzanie danych jest koniecznym elementem funkcjonowania podmiotu i prowadzenia przez niego działalności w obrocie gospodarczym”[5].

Regularne i systematyczne monitorowanie należy rozumieć jako proces usystematyzowany, przebiegający według określonego planu, charakteryzujący się powtarzalnością. Znaczenie pojęcia operacje przetwarzania dokonywane są na dużą skalę rozjaśnia motyw 91 preambuły RODO, zgodnie z którym operacje tej wielkości służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.

Mając na uwadze ogólny charakter przesłanek art. 37 ust. 1 lit. b) RODO, jak również potencjalnie wysokie kary administracyjne, grożące za niewywiązanie się z obowiązku wyznaczenie inspektora ochrony danych, warto skorzystać z profesjonalnego doradztwa prawnego. Prawnik oceni, czy w Państwa przypadku konieczne jest wyznaczenie IOD. 

[1] Na kanwie RODO pojęcie administratora oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych - por. art. 4 pkt 7 RODO.

[2] "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora - por. art. 4 pkt 8 RODO.

[3] "organ nadzorczy" oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie.

[4] Są to (i) dane osobowe ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, (ii) dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, (iii) dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz (iv) dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.

[5] A. Nerka w: Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M.Sakowska-Baryła, komentarz do art. 37, teza 5, Legalis/el.