Obowiązek wyznaczenia inspektora ochrony danych

Przepisy RODO stworzyły nowe podejście do ochrony danych osobowych, co wiąże się z wieloma wyzwaniami. Aby im sprostać, ustawodawca zadbał o fachowe wsparcie administratorów w postaci inspektora ochrony danych osobowych (obecnie ABI).

Inspektorzy ochrony danych osobowych mają być osobami dysponującymi odpowiednią wiedzą i umiejętnościami w celu zapewnienia zgodności przetwarzania danych osobowych z nowymi unijnymi regulacjami oraz w profesjonalny sposób działać na rzecz zapewnienia bezpieczeństwa przetwarzanych danych osobowych w podmiotach oraz w obrocie gospodarczym.

Rozporządzenie wprowadza szereg istotnych zmian w systemie ochrony danych osobowych oraz zwiększa odpowiedzialność administratora danych, a tym samym przyznaje bardzo dużą rolę inspektorowi ochrony danych. RODO nałożyło na administratorów danych osobowych (w określonych przypadkach) obowiązek wyznaczenia inspektorów ochrony danych oraz wzmocniło ich niezależność i pozycję w strukturach jednostki organizacyjnej.

Przepisy doprecyzowały również wymogi dotyczące fachowego przygotowania (wiedzy i umiejętności) inspektorów oraz wprowadziły ich ochronę przed negatywnymi skutkami działań podejmowanych na rzecz bezpieczeństwa danych osobowych.

Ustawodawca unijny określił również zakres zadań inspektorów, którego głównym filarem jest pełnienie funkcji doradczej i kontrolnej procesu przetwarzania danych osobowych oraz działań i decyzji administratorów danych, a także podmiotów przetwarzających dane.                                                                                                              

Administratorzy danych i podmioty przetwarzające dane muszą obligatoryjnie powołać inspektora danych osobowych, gdy są one:

  • organami lub podmiotami publicznymi (z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości);
  • administratorami i operatorami danych, których główna działalność polega na operacjach przetwarzania danych wymagających – ze względu na swój charakter, zakres lub cele – regularnego i systematycznego monitorowania osób na dużą skalę;
  • administratorami i operatorami danych, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Zostało to określone w art. 37 ust. 1 RODO.

Obowiązek wyznaczenia inspektora ochrony danych osobowych dotyczy wszystkich jednostek publicznych oraz niektórych firm, gdy:

  • w sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, czyli oznacza jego zasadnicze, a nie poboczne czynności;
  • w organizacji regularnie monitoruje się zbiory danych osobowych oraz zakres przetwarzanych danych, w tym dane wrażliwe, i przeprowadza ocenę skutków ich przetwarzania – ocena skutków dla ochrony danych powinna mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób;
  • przetwarzanie danych w organizacji odbywa się na dużą skalę – przetwarzanie danych będzie wymagało uwzględnienia proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę).

Ponadto każde państwo członkowskie może zaimplementować w swoim prawie krajowym obowiązek wprowadzenia inspektora ochrony danych do jednostki organizacyjnej. W pozostałych wyznaczenie inspektora pozostaje w gestii administratora danych i jego wyznaczenie będzie dobrowolne.

Prawodawca europejski umożliwił powołanie jednego wspólnego inspektora ochrony danych dla:

  • grupy przedsiębiorstw – jeśli można będzie łatwo nawiązać z nim kontakt z każdej jednostki organiza­cyjnej,
  • kilku organów lub podmiotów publicznych – z uwzględnieniem ich struktury organizacyjnej i wielkości,
  • zrzeszeń lub innych podmiotów reprezentujących określone kategorie administratorów.

Ponadto art. 37 ust. 6 RODO wyraźnie przesądza, że inspektor ochrony danych może być zarówno członkiem personelu administratora danych lub podmiotu przetwarzającego, jak i wykonywać swoją funkcję na podstawie umowy o świadczenie usług.

W przypadku umowy cywilnoprawnej wiele w tym zakresie może zależeć od treści umowy i jej postanowień dotyczących zasad i sposobu egzekwowania odpowiedzialności za niewykonanie lub nienależyte wykonanie wynikających z niej zobowiązań.