Analiza prawna statusu Inspektora Ochrony Danych Osobowych w świetle RODO

16 marca 2018

Opublikowano przez: Natalia Stojanowska

KATEGORIA: RODO informator

Analiza prawna statusu Inspektora Ochrony Danych Osobowych w świetle RODO

Unijne Rozporządzenie 2016/679[1], które zacznie obowiązywać w polskim porządku prawnym od 25 maja 2018r. wprowadza nową instytucję – Inspektora Ochrony Danych (IOD).

Powołanie IOD jest uzależnione od spełnienia jednej z trzech przesłanek z art. 37 ust. 1 RODO i jest obowiązkowe, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

W efekcie wszyscy komornicy sądowi muszą sami zdecydować, czy wyznaczyć w kancelarii komorniczej IOD.

Organy lub podmioty władzy publicznej (sektor publiczny)

Do pierwszej kategorii podmiotów zobowiązanych do wyznaczenia IOD zaliczono organy i podmioty publiczne. RODO nie definiuje jednak tych pojęć. Zgodnie z art. 7 projektu ustawy o ochronie danych osobowych z dnia 8 lutego 2018r. przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych.

W sytuacji, w której przetwarzanie następuje przez ww. podmioty są one zobowiązane do wyznaczenia IOD. Powyższa zasada doznaje jednak wyjątków. Obowiązek wyznaczania IOD nie obejmuje sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

Główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (sektor prywatny)

RODO nie definiuje pojęć „główna działalność administratora lub podmiotu przetwarzającego”, „regularne i systematyczne monitorowanie osób, których dane dotyczą”, czy „przetwarzania na dużą skalę”[2].  W literaturze przedmiotu wskazuje się, że obowiązek wyznaczenia IOD pojawi się dopiero wówczas, gdy główna działalność administratora lub podmiotu przetwarzającego będzie polegała na przetwarzaniu danych osobowych na dużą skalę[3].

RODO nie definiuje jednak pojęcia „dużej skali”. Można posiłkować się jedynie brzmieniem motywu nr 91 RODO, który odnosi się do oceny skutków w trybie art. 35 RODO[4].W ocenie Grupy Roboczej Art. 29 nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby dużą skalę, dlatego przy analizowaniu pojęcia przetwarzania na dużą skalę powinno się uwzględniać kilka elementów: liczbę osób, których dane są przetwarzane; zakres przetwarzanych danych osobowych; obszar, na którym dane są przetwarzane, czy też czas, przez jaki są przetwarzane. W praktyce ocena kryterium dużej skali będzie musiała być dokonywana każdorazowo w konkretnym stanie faktycznym[5].

Główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Do szczególnej kategorii danych należy zaliczyć: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej (art. 9 RODO).

Zgodnie z art. 10 RODO Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

Grupa Robocza Art. 29 zaleca, i z tym stanowiskiem należy się zgodzić, że choć ten obowiązek nie wynika z przepisów, aby prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną wyznaczały (na zasadach dobrowolności) IOD. Wskazuje także, że jego działalność powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym[6].

Przypisy

[1] dalej jako „RODO”.

[2] Zgodnie z motywem nr 97 RODO jeżeli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponująca wiedzą fachową na temat prawa i praktyk w dziedzinie danych osobowych. W sektorze prywatnym przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. […]

[3] E. Bielak – Jomaa [w:] RODO Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak -Jomaa; D. Lubasz, Warszawa 2018, s. 778.

[4] W takim rozumieniu przez dużą skalę należy traktować przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter), gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

[5] Zob. Wytyczne dotyczące inspektorów ochronnych danych (IOD), WP 243 rew.01, s. 21-22

[6] Wytyczne dotyczące inspektorów ochronnych danych (IOD), WP 243 rew.01, s. 7

Zobacz pełny artykuł

BĄDŹ NA BIEŻĄCO Z RODO!

Zapisz się na newsletter i otrzymuj najświeższe informacje o związanych z RODO zmianach, które będą miały istotny wpływ na pracę w kancelariach komorniczych.