IOD – kto to jest i kiedy się go wyznacza?

IOD czyli Inspektor Ochrony Danych to osoba, która pełni kluczową rolę w procesie zapewniania rozliczalności, czyli wykazywania przetwarzania danych osobowych zgodnie z przepisami o ochronie danych osobowych, a także pełni funkcję pośrednika pomiędzy administratorem lub podmiotem przetwarzającym, a organem nadzorczym lub podmiotem danych osobowych, które są przetwarzane.

Jednakże jak wynika z art. 37 RODO, nie każdy administrator czy podmiot przetwarzający będzie miał obowiązek takiego IOD’a wyznaczyć. A zatem nasuwa się pytanie kiedy powstaje obowiązek wyznaczenia Inspektora Ochrony Danych? Odpowiedź na to pytanie wynika wprost z wspomnianego art. 37 RODO, w świetle którego: “Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego
i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10”.

Co to oznacza w praktyce?

IOD musi być wyznaczony w organach i podmiotach publicznych. Ustawodawca unijny nie definiuje „organu lub podmiotu publicznego”, jednak pojęcie to zostało sprecyzowane w polskiej ustawie
z 10.5.2018 r. o ochronie danych osobowych. W art. 9 wskazuje się, że przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora należy rozumieć:

1) jednostki sektora finansów publicznych;

2) instytuty badawcze;

3) Narodowy Bank Polski.

Pojęcie jednostek sektora finansów publicznych definiuje z kolei art. 9 ustawy z 27.8.2009 r. o finansach publicznych, wskazując, że sektor ten tworzą m.in.: organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały; jednostki samorządu terytorialnego oraz ich związki.

Z punktu widzenia przedsiębiorców sektora prywatnego jednak największe znaczenie mają punkty b) i c) na których skupimy się najbardziej. W tym miejscu należy rozłożyć na czynniki pierwsze pojęcia takie jak „główna działalność administratora lub podmiotu przetwarzającego”, „regularne
i systematyczne monitorowanie” oraz „duża skala”, a także „przetwarzanie szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10”.

„Główna działalność”

Z motywu 97 RODO dowiadujemy się, że „przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”. Co należy przez to rozumieć? Najłatwiej będzie posłużyć się przykładem przedstawionym przez Grupę Roboczą art. 29, w „Wytycznych dotyczących inspektorów ochrony danych („DPO”)”. Wyobraźmy sobie prywatną firmę ochroniarską zajmującą się sprawowaniem nadzoru nad szeregiem prywatnych centrów handlowych i obiektów publicznych. Sprawowanie nadzoru stanowi główną działalność tego przedsiębiorstwa, której wykonywanie nieodłącznie wiąże się z koniecznością przetwarzania danych osobowych. Dlatego też również to przedsiębiorstwo musi wyznaczyć Inspektora Ochrony Danych.

„Regularne i systematyczne monitorowanie”

Co prawda pojęcie to nie zostało zdefiniowane w RODO, jednakże w motywie 24 możemy odnaleźć pewne wskazówki, bowiem wspomina się tam o „monitowaniu zachowania” osób, których dane dotyczą. Aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Pojęcie to zatem – wedle Wytycznych Grupy Roboczej art. 29 – obejmuje wszelkie formy śledzenia i profilowania, w tym na potrzeby reklam behawioralnych, przy czym nie jest ograniczone jedynie do środowiska online i śledzenie w sieci powinno być traktowane wyłącznie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą. Typowymi przykładami takich działań są świadczenia usług telekomunikacyjnych, programy lojalnościowe czy też monitorowanie samopoczucia, parametrów fizycznych i danych dotyczących zdrowia za pomocą chociażby popularnych obecnie smatchwatchy.

„Duża skala”

Definicji tego pojęcia również na próżno szukać w RODO. Jednakże, w tym przypadku również możemy liczyć na pewne wskazówki w motywie 91. Zgodnie z treścią tego motywu pojęcie to obejmowałoby
w szczególności „operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko”. W motywie tym stwierdzono natomiast wprost, że „przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika”. Aby zatem ustalić czy mamy do czynienia z przetwarzaniem „na dużą skalę” należy wziąć pod uwagę czynniki zaproponowane przez wyżej wspomnianą już Grupę Roboczą, tj.

· liczbę osób, których dane dotyczą – wyrażoną jako konkretna wartość albo jako odsetek populacji odniesienia;

· ilość danych lub zakres poszczególnych przetwarzanych pozycji danych;

· czas trwania lub trwałość czynności przetwarzania danych;

· zakres geograficzny czynności przetwarzania.

Przykładem przetwarzania danych na dużą skalę będzie przetwarzanie danych swoich klientów przez bank w ramach prowadzonej działalności gospodarczej lub przetwarzanie danych przez dostawców usług telefonicznych lub internetowych.

„Przetwarzanie danych wrażliwych i informacji o wyrokach i czynach zabronionych”

Ostatni przypadek, w którym powstaje obowiązek wyznaczenia Inspektora Ochrony Danych, to sytuacja, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (art. 9 RODO) oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO.

Z powyższego wynika zatem, że w momencie spełnienia którejkolwiek z ww. przesłanek wyznaczenie Inspektora Ochrony Danych będzie obowiązkowe. Jednakże nic nie stoi na przeszkodzie wyznaczenia takiego IOD’a przy braku spełnienia tychże warunków. W dobrym tonie będzie wyznaczenie takiego Inspektora w organizacji prywatnej realizującej zadania w interesie publicznym (np. transport publiczny czy dostarczanie wody i energii) mając na względzie fakt, iż sytuacja osób, których dane dotyczą, może być bardzo podobna do sytuacji przetwarzania ich danych przez organy lub podmioty publiczne.