Kto musi wyznaczyć inspektora ochrony danych?

Powołanie inspektora ochrony danych – outsourcing IOD

GIODO opisuje wyznaczenie inspektora ochrony danych osobowych IOD.

Przytaczamy fragment materiałów; “Kto może, a kto musi wyznaczyć inspektora ochrony danych?”

” …funkcja DPO (czyli IOD) może być również pełniona na podstawie umowy o świadczenie usług zawartej nie tylko z osobą fizyczną, ale też innym podmiotem. W pracy zespołowej można bowiem połączyć indywidualne atuty i umiejętności poszczególnych osób tak, aby zapewnić wydajniejszą obsługę administratora danych. W takim przypadku konieczne jest jednak , aby każdy członek podmiotu sprawującego funkcję DPO spełniał wszystkie istotne wymogi wskazane w Sekcji 4* RODO, oraz miał zapewnioną, wynikającą z tych przepisów ochronę.  W celu zapewnienia przejrzystości prawnej i dobrej organizacji zalecany jest ponadto wyraźny podział zadań oraz wyznaczenie jednej osoby jako wiodącej osoby kontaktowej i osoby ‘odpowiedzialnej’ za każdego klienta. Kwestie te powinny być jasno określone w umowie o świadczenie usług.”

“Ogólne rozporządzenie o ochronie danych w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę.

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

Ponadto zgodnie z art. 37 ust. 4 ogólnego rozporządzenia o ochronie danych obowiązek powołania inspektora ochrony danych może wprowadzić prawo Unii lub prawo państwa członkowskiego. Oznacza to, iż m.in. ustawodawca polski będzie mógł rozszerzyć obowiązek wyznaczenia DPO na inne podmioty.

W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.

Ponadto Grupa Robocza art. 29 rekomenduje wyznaczenie DPO nawet w odniesieniu do podmiotów do tego niezobowiązanych. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji).
Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych uznaje za dobrą praktykę powoływanie DPO przez prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną. W takim przypadku działalność inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.

Obowiązek wyznaczenia DPO dotyczy również podmiotów przetwarzających. Mogą zatem wystąpić sytuacje, kiedy administrator nie będzie zobowiązany do wyznaczenia DPO, natomiast obowiązek taki będzie ciążył na podmiocie przetwarzającym. Jako przykład Grupa Robocza art. 29 podaje sytuację, w której mała, rodzinna firma dystrybuująca artykuły gospodarstwa domowego na terenie jednego miasta korzysta z usług podmiotu przetwarzającego, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone działania, nie spowoduje obowiązku wyznaczania inspektora ochrony danych. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”. W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia inspektora ochrony danych.

Powyższe zasady nie uniemożliwiają podmiotom niezobowiązanym do wyznaczenia DPO skorzystania z innego rozwiązania niż wyznaczenie inspektora ochrony danych, np.wyznaczenia pracownika albo zatrudnienie zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W takim przypadku wedle zaleceń Grupy Roboczej art. 29 ważne jest, aby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd. W związku z tym należy poinformować pracowników organizacji, organ nadzorczy, osoby, których dane dotyczą, i ogół społeczeństwa, iż osoba zatrudniona nie jest DPO w świetle przepisów RODO.”

Źródło: artykuł jest ze strony https://abi.giodo.gov.pl/inspektor-ochrony-danych/kto-moze-a-kto-musi-wyznaczyc-inspektora-ochrony-danych

Jak stanowi art. 4 pkt 2 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, przedmiotu prawa autorskiego nie stanowią dokumenty urzędowe, materiały, znaki i symbole.

Zobacz naszą ofertę wdrożenia RODO

inspektor-ochrony-dnych-rodo Kto musi wyznaczyć inspektora ochrony danych?