Obowiązkowe wyznaczenie inspektora ochrony danych oraz jego zadania – wytyczne Grupy Roboczej Art. 29
Grupa Robocza Art. 29 przygotowała wytyczne dotyczące obowiązkowego wyznaczania inspektora ochrony danych (IOD), a także jego statusu i zadań. Wytyczne mają na celu ułatwienie administratorom oraz podmiotom przetwarzającym określenie, czy po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych będą mieli obowiązek wyznaczenia inspektora.
****
Wyznaczenie inspektora
Zgodnie z art. 37 ust. 1 RODO, wyznaczenie inspektora będzie obowiązkowe w trzech przypadkach:
1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).
Szczególne wątpliwości dotyczyły sformułowań takich jak „główna działalność”, „duża skala przetwarzania”, „regularne i systematyczne monitorowanie”. Wszystkie te pojęcia zostały omówione w wytycznych.
Główna działalność polegająca na przetwarzaniu danych osobowych powinna być interpretowana dość szeroko i obejmować sytuacje, kiedy przetwarzanie danych jest nierozerwalnie związane z działalnością danego podmiotu. Dla przykładu, główna działalność szpitala polega na zapewnianiu opieki medycznej, jednak wykonywanie tych usług jest niemożliwe bez przetwarzania danych osobowych, np. dokumentacji medycznej i historii choroby pacjenta.
Jednakże za działalność poboczną uznano przetwarzanie danych w celu prowadzenia listy płac czy też korzystania z obsługi IT. Zatem samo przetwarzanie danych osobowych pracowników nie będzie określane jako przetwarzanie będące elementem głównej działalności podmiotu.
Jeśli chodzi o dużą skalę przetwarzania, Grupa Robocza nie wskazała żadnej konkretnej wartości dotyczącej liczby podmiotów danych czy też rozmiaru zbioru danych, która determinowałaby „dużą skalę”.
W wytycznych przedstawione są następujące kryteria, które powinny być brane pod uwagę przy określaniu, czy przetwarzanie następuje na „dużą skalę”:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- zakres przetwarzanych danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych.
Grupa Robocza podała także przykłady przetwarzania danych na dużą skalę:
- przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
- przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie
- za pośrednictwem ‘kart miejskich’);
- przetwarzanie danych geo-lokalizacyjnych w czasie rzeczywistym przed wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
- przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:
- przetwarzanie danych pacjentów – klientów, dokonywane przez pojedynczego lekarza;
- przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokatalub radcę prawnego.
Grupa Robocza podała też swoją interpretację regularnego i systematycznego monitorowania osób.
Monitorowanie osób jest „regularne” spełnia jedno lub więcej poniższych kryteriów:
- stałe albo występujące w określonych odstępach czasu przez ustalony okres;
- cykliczne albo powtarzające się w określonym terminie;
- odbywające się stale lub okresowo.
Monitorowanie „systematyczne” spełnia jedno lub więcej z następujących kryteriów:
- występujące zgodnie z określonym systemem;
- zaaranżowane, zorganizowane lub metodyczne;
- odbywające się w ramach generalnego planu zbierania danych;
- przeprowadzone w ramach określonej strategii.
Grupa Robocza podaje następujące przykłady regularnego i systematycznego monitorowania osób:
- obsługa sieci telekomunikacyjnej;
- świadczenie usług telekomunikacyjnych;
- przekierowywanie e-mail;
- profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy);
- śledzenie lokalizacji, na przykład w aplikacjach telefonicznych;
- programy lojalnościowe;
- reklama behawioralna;
- monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych;
- monitoring wizyjny;
- urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, etc.
Powyższe wytyczne nie dają konkretnych odpowiedzi na pytanie, kiedy administrator lub podmiot przetwarzający powinien wyznaczyć inspektora ochrony danych. Bezpiecznym rozwiązaniem wydaje się jednak wyznaczenie IOD w każdej sytuacji, o której mowa w wytycznych, o ile spełnione jest kryterium dużej skali.
Jeśli chodzi o podmioty publiczne, Grupa Robocza rekomenduje, aby IOD był wyznaczany nie tylko przez organy władzy publicznej, ale także przez podmioty prywatne realizujące zadania publiczne lub sprawujące władzę publiczną (np. usługi transportowe, dostawa energii elektrycznej, wody, itp.).
Dopuszczalne jest wyznaczenie jednego IOD dla kilku podmiotów, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Możliwe jest także wyznaczenie wspólnego inspektora organów władzy publicznej, przy czym należy uwzględnić ich strukturę organizacyjną i wielkość. Grupa Robocza stwierdziła, że w takiej sytuacji należy zapewnić, aby IOD wyznaczony dla kilku podmiotów był w stanie starannie wykonywać swoje zadania we wszystkich tych podmiotach (np. aby miał na to wystarczająco dużo czasu). Poza tym należy zapewnić, aby pracownicy wszystkich podmiotów mogli łatwo porozumiewać się z IOD – może to być zapewnione przez osobisty kontakt z IOD w siedzibie podmiotu, ale także przez telefon lub inny bezpieczny sposób komunikacji zdalnej. Ponadto inspektor powinien mówić w języku lub językach używanych przez pracowników oraz przez właściwe organy nadzorcze.
Wiedza fachowa i umiejętności inspektora
Poziom wiedzy fachowej IOD powinien być odpowiedni w stosunku do „wrażliwości” danych, skomplikowania operacji oraz ilości danych przetwarzanych przez daną organizację. Na przykład, jeżeli przetwarzanie jest szczególnie skomplikowane i dotyczy dużej ilości danych „wrażliwych”, IOD powinien mieć większą wiedzę.
Jeśli chodzi o kwalifikacje zawodowe, IOD powinien mieć wiedzę w zakresie europejskiego i krajowego prawa ochrony danych oraz praktyk ochrony danych, a także szczegółową wiedzę na temat RODO. Przydatne jest także zrozumienie czynności przetwarzania dokonywanych przez organizację i znajomość sektora, w którym działa organizacja. Wskazana jest także wiedza na temat systemów informatycznych służących do przetwarzania, a także potrzeb organizacji co do zabezpieczania danych osobowych.
Możliwe jest zawarcie umowy cywilnoprawnej dotyczącej wykonywania funkcji IOD, przy czym umowa może być zawarta zarówno z osobą fizyczną, jak i z organizacją (osobą prawną lub „ułomną” osobą prawną). W tym drugim przypadku każda osoba fizyczna wewnątrz takiej organizacji, która miałaby wypełniać zadania IOD, musi spełniać wszystkie wymogi, o których mowa w RODO.
Podawanie danych kontaktowych IOD do wiadomości publicznej
Dane kontaktowe IOD oznaczają adres pocztowy, numer telefonu przeznaczony tylko do kontaktu z IOD, adres email przeznaczony tylko do kontaktu z IOD. Tam, gdzie jest to przydatne, sposobem kontaktu z IOD dla podmiotów danych może być też specjalny formularz kontaktowy na stronie internetowej organizacji. Nie ma konieczności publikowania tożsamości (imienia i nazwiska) IOD. Grupa Robocza jako dobrą praktykę wskazuje jednak poinformowanie o tożsamości IOD organu nadzorczego oraz pracowników organizacji, w której IOD jest wyznaczony (np. poprzez umieszczenie informacji o jego imieniu i nazwisku oraz danych kontaktowych w intranecie).
Status inspektora w ramach organizacji
Inspektor powinien być angażowany we wszystkie sprawy dotyczące ochrony danych osobowych na jak najwcześniejszym etapie. Dotyczy to między innymi przeprowadzania oceny skutków dla ochrony danych. Ponadto IOD powinien być członkiem wszystkich grup roboczych w ramach organizacji, które zajmują się operacjami przetwarzania danych osobowych. IOD powinien regularnie brać udział w spotkaniach kierownictwa wyższego i średniego szczebla.
Jeśli chodzi o zasoby niezbędne IOD do wykonywania jego zadań i do utrzymania fachowej wiedzy, należy przez to rozumieć między innymi:
- aktywne wsparcie IOD przez wyższe kierownictwo organizacji;
- dawanie IOD odpowiednio dużo czasu na wypełnianie swoich zadań, szczególnie gdy IOD jest zatrudniony na część etatu;
- wsparcie IOD w zakresie zasobów finansowych, kadrowych oraz organizacyjnych (pomieszczenia, sprzęt);
- oficjalne poinformowanie pracowników o wyznaczeniu IOD, tak aby pracownicy mieli świadomość, że do takiej osoby mogą się zwrócić;
- umożliwianie IOD stałego poszerzania swojej wiedzy w zakresie ochrony danych osobowych, np. poprzez zachęcanie IOD do brania udziału w szkoleniach itd.;
- w niektórych przypadkach konieczne może być wyznaczenie zespołu inspektorów; wówczas zakres odpowiedzialności członków zespołu powinien być wyraźnie określony.
Inspektor nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań. Oznacza to, że administrator lub podmiot przetwarzający nie mogą mówić IOD, w jaki sposób powinien zajmować się konkretną sprawą, jaki powinien być wynik jego analizy, w jaki sposób przeprowadzić postępowanie wyjaśniające co do skargi lub czy należy się skonsultować z organem nadzorczym. Inspektor nie może też otrzymywać instrukcji co do tego, jaką interpretację prawa przyjąć.
Zakaz karania lub odwoływania IOD za wykonywanie swoich zadań dotyczy tylko sytuacji, w których ma to związek z wykonywaniem przez IOD zadań właśnie jako IOD, czyli ogólnie mówiąc zadań związanych z zapewnianiem przestrzegania przepisów o ochronie danych. Dla przykładu, jeżeli IOD uważa, że w pewnej sprawie należy przeprowadzić ocenę skutków dla ochrony danych, a administrator nie zgadza się z tą oceną, to z tego powodu administrator nie może odwołać (zwolnić) lub ukarać IOD.
Inspektor może wykonywać inne zadania i obowiązki, ale nie mogą one powodować konfliktu interesów. Oznacza to na przykład, że IOD nie może pełnić takiej roli, w której decydowałby o celach i środkach przetwarzania danych. Potencjalny konflikt interesów powinien być w każdej sytuacji rozważany oddzielnie. Niemniej jednak za funkcje, których nie powinno się łączyć roli IOD uważa się wyższe funkcje kierownicze (w tym w zakresie kierowania operacjami, finansami, marketingiem, HR, IT), ale także inne funkcje niżej w hierarchii, o ile ich pełnienie wiąże się z decydowaniem o celach i środkach przetwarzania danych.
Zadania inspektora
W ramach monitorowania przestrzegania prawa ochrony danych, IOD może na przykład zbierać informacje o operacjach przetwarzania danych, analizować i sprawdzać zgodność operacji przetwarzania z prawem, przygotowywać porady, opinie lub rekomendacje dla administratora lub podmiotu przetwarzającego.
W zakresie przeprowadzania oceny skutków dla ochrony danych, administrator powinien zwrócić się o opinię IOD między innymi w następujących kwestiach:
- czy należy przeprowadzić ocenę skutków dla ochrony danych;
- według jakiej metodologii przeprowadzić ocenę skutków;
- czy ocena skutków powinna być przeprowadzona wewnętrznie czy w ramach zlecenia jej przeprowadzenia na zewnątrz organizacji;
- jakie środki techniczne i organizacyjne powinny być zastosowane, aby zmniejszyć ryzyko naruszenia praw i wolności podmiotów danych;
- czy ocena skutków została przeprowadzona prawidłowo i czy jej wnioski są zgodne z RODO.
Jeżeli administrator nie zgadza się z rekomendacją IOD, dokumentacja oceny skutków powinna zawierać pisemne wyjaśnienie co do powodów, dla których rekomendacja IOD nie została przyjęta.
Inspektor może także zajmować się prowadzeniem rejestru czynności przetwarzania (obowiązek administratora i podmiotu przetwarzającego wynikający z art. 30 ust. 1-2 RODO). Nie jest to zadanie przypisane IOD w art. 39 RODO, jednakże lista zadań tam zawarta powinna być traktowana jako minimum. Nie ma więc przeszkód, aby to zadanie wykonywał IOD, tym bardziej, że rejestr czynności przetwarzania może być jednym z narzędzi, które ułatwiają IOD wykonywanie jego zadań w zakresie monitorowania zgodności przetwarzania z prawem.
****
Tekst wytycznych w języku angielskim można znaleźć tutaj.
Nieoficjalne tłumaczenie wytycznych przygotowane przez GIODO można znaleźć tutaj.
Zachęcamy także do zapoznania się z artykułami na temat wytycznych Grupy Roboczej art. 29 dotyczących prawa do przenoszenia danych tutaj oraz wiodącego organu nadzorczego tutaj.