languageRU      languageEN      internationalInternational        phoneZadzwoń do nas: 22 276 61 80

Jesteś tutaj:Start/Baza wiedzy/Instrukcje, czynności, poradniki/Kto ma obowiązek powołania inspektora ochrony danych
poniedziałek, 21 listopad 2022 13:45

Kto ma obowiązek powołania inspektora ochrony danych

Kluczową kwestią odnośnie do instytucji inspektora ochrony danych (IOD) jest  ustalenie, czy na podmiocie prowadzącym działalność gospodarczą ciąży obowiązek wyznaczenia osoby pełniącej taką rolę. Sprawdzamy kiedy i kto powinien się tym tematem zainteresować i na co zwrócić uwagę w zakresie obowiązków IOD.

Instytucja inspektora ochrony danych (dalej również „IOD”) uregulowana jest obecnie w Rozporządzeniu Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/we, powszechnie określanym jako „RODO”, które weszło w życie 25 maja 2018 r.

Jakie zadania ma inspektor ochrony danych

Na kanwie obowiązujących przepisów inspektor ochrony danych jest osobą fizyczną, która wspiera administratora[1] oraz ew. podmiot przetwarzający[2] w nadzorze co do przestrzegania przepisów RODO. Zgodnie z treścią art. 39 ust. 1 RODO do zadań inspektora ochrony danych należy:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów,
  • monitorowanie przestrzegania RODO, innych przepisów oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych,
  • udzielanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie wykonania tychże zaleceń
  • współpraca z organem nadzorczym[3],
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego.

Wysokie kary za niedopełnienie obowiązku powołania IOD

W perspektywie prowadzenia działalności gospodarczej za kluczową kwestię należy uznać precyzyjne ustalenie, czy na podmiocie prowadzącym działalność gospodarczą – spółce lub osobie fizycznej prowadzącej jednoosobową działalność gospodarczą – ciąży obowiązek wyznaczenie inspektora ochrony danych oraz zawiadomienia o tym fakcie organu nadzorczego, którym w polskich realiach jest Prezesa Urzędu Ochrony Danych Osobowych. Zgodnie bowiem z dyspozycją art. 83 ust. 4 lit. a) RODO Naruszenie tego obowiązku może bowiem skutkować nałożeniem na podmiot przetwarzający kary pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Obligatoryjne powołanie inspektora ochrony danych

Przypadki, w których wyznaczenie inspektora ochrony danych jest obligatoryjne, uregulowane są w art. 37 ust. 1 RODO. Obejmują one sytuacje, w których:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

Dla podmiotów prowadzących działalność gospodarczą przetwarzających dane osobowe, kluczowe znaczenie ma przypadek ujęty w art. 37 ust. 1 lit. b) RODO. Pozostałe przesłanki odnoszą się bowiem do organów i podmiotów publicznych oraz przypadków przetwarzania danych osobowych szczególnego rodzaju[4], które typowo pozostają poza zakresem przetwarzania przez podmioty prowadzących działalność gospodarczą.

Art. 37 ust. 1 lit. b) RODO znajduje zastosowanie do przypadków, gdy łącznie spełnione są następujące przesłanki:

  • działalność administratora lub podmiotu przetwarzającego stanowi jego działalność główną;
  • operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą;
  • operacje przetwarzania dokonywane są na dużą skalę.

Powołanie IOD a zakres działalności

Weryfikacja tego, czy prowadzona działalność wiąże się z obowiązkiem powołania Inspektora Ochrony Danych wymaga każdorazowo uwzględnienia konkretnej sytuacji faktycznej, w tym w szczególności modelu prowadzenia działalności przez przedsiębiorcę (administratora).

Ograniczając się w tym miejscu do uwag o ogólnym charakterze, można jednak przynajmniej częściowo rozjaśnić znaczenie ww. przesłanek z art. 37 ust. 1 lit. b) RODO. Motyw 97 preambuły RODO wyjaśnia, że w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. W tym kontekście w doktrynie wskazuje się, że dotyczy to sytuacji, w których „przetwarzanie danych jest koniecznym elementem funkcjonowania podmiotu i prowadzenia przez niego działalności w obrocie gospodarczym”[5].

Regularne i systematyczne monitorowanie należy rozumieć jako proces usystematyzowany, przebiegający według określonego planu, charakteryzujący się powtarzalnością. Znaczenie pojęcia operacje przetwarzania dokonywane są na dużą skalę rozjaśnia motyw 91 preambuły RODO, zgodnie z którym operacje tej wielkości służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.

Mając na uwadze ogólny charakter przesłanek art. 37 ust. 1 lit. b) RODO, jak również potencjalnie wysokie kary administracyjne, grożące za niewywiązanie się z obowiązku wyznaczenie inspektora ochrony danych, warto skorzystać z profesjonalnego doradztwa prawnego. Prawnik oceni, czy w Państwa przypadku konieczne jest wyznaczenie IOD. 

[1] Na kanwie RODO pojęcie administratora oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych - por. art. 4 pkt 7 RODO.

[2] "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora - por. art. 4 pkt 8 RODO.

[3] "organ nadzorczy" oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie.

[4] Są to (i) dane osobowe ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, (ii) dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, (iii) dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz (iv) dane osobowe dotyczące wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa.

[5] A. Nerka w: Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, red. M.Sakowska-Baryła, komentarz do art. 37, teza 5, Legalis/el.

 Autor: Paweł Postolko

Adwokat, absolwent kierunku Prawo na Wydziale Prawa i Administracji Uniwersytetu Jagiellońskiego, gdzie następnie ukończył Studia Podyplomowe Prawa Karnego Gospodarczego i Skarbowego. Z Kancelarią Russell Bedford związany od 2021 roku. Przedmiotem jego zainteresowań zawodowych jest prawo gospodarcze z uwzględnieniem problematyki karno-gospodarczej. Posiada praktyczne doświadczenie zawodowe w prowadzeniu spraw sądowych.

Nasze publikacje

rbiuletyn

 

lipiec-wrzesień 2023

RB Biuletyn numer 44

pobierz magazyn

Nasze publikacje

rb restrukturyzacje             russellbedford             rbdombrokersi