Kto może, a kto musi wyznaczyć inspektora ochrony danych? Kto może wykonywać funkcję IOD?

Od maja 2018 roku na podstawie art 37. RODO będzie istniał obowiązek powołania IOD (inspektora ochrony danych).

Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora danych osobowych dla administratorów i podmiotów przetwarzających wówczas, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

W pozostałych podmiotach będzie można powołać (IOD) inspektora danych osobowych, chociażby dlatego że może to wpłynąć pozytywnie na wizerunek podmiotu.

Wskazane wyżej przesłanki zawierają kilka pojęć nieostrych, które wymagają doprecyzowania.

– Główna działalność, zgodnie z preambułą RODO oznacza zasadnicze, a nie poboczne czynności. Grupa art. 29 podkreśla, że przetwarzanie danych będzie uznane za główną działalność także, gdy jest ono nieodłączną częścią działalności np. przetwarzanie danych przez szpital.

– Zaklasyfikowanie działalności jako przetwarzania na dużą skalę będzie podlegać indywidualnej ocenie.

W celu ułatwienia jej przeprowadzenia, Grupa art. 29 rekomenduje, by uwzględniać takie czynniki jak: liczba osób, których dane są przetwarzane, rozmiar i różnorodność przetwarzanych danych, czas trwania, sposób, czy zakres terytorialny przetwarzania.

– Zgodnie ze wskazówkami Grupy art. 29, regularne i systematyczne monitorowanie może oznaczać powtarzające się czynności, które są zaplanowane lub przewidziane przez system.

Jeśli podmiot uznaje, że nie ma obowiązku powołania inspektora, Grupa art. 29 zaleca sporządzenie dokumentacji, która wskazuje na brak takiego obowiązku. Dzięki temu, w razie wątpliwości, możliwe będzie zweryfikowanie, czy administrator lub podmiot przetwarzający dane uwzględnił istotne czynniki podczas oceny. Zachęca się administratorów do powołania inspektora także, gdy nie jest to obligatoryjne. Fkultatywnie powołany inspektor będzie musiał spełniać wszystkie wymagania nałożone przez RODO.

 

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu  outsourcingu, na podstawie umowy o świadczenie usług.