Przesłanki warunkujące obowiązek wyznaczenia inspektora danych osobowych (DPO) uregulowane zostały w art. 37 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Zgodnie z powołanym artykułem wyznaczenie  DPO jest obowiązkowe w trzech rodzajach przypadków.

Pierwsza sytuacja dotyczy organów i podmiotów publicznych i wydaje się najbardziej czytelna dla odbiorcy. Drugi przypadek obejmuje takich administratorów danych osobowych (ADO) oraz podmioty przetwarzające (Procesorzy), których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Trzecia sytuacja dotyczy takich ADO oraz Procesorów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO  (np. danych biometrycznych lub danych o stanie zdrowia) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Ważny fragment

Oceniając czy w danym przypadku działalność ma charakter główny czy uboczny  należy mieć na uwadze, czy dana aktywność realizuje główny cel ADO lub Procesora czy uboczny, lub czy dana aktywność stanowi tzw. core biznes czy tylko go wspiera lub uzupełnia.

 

Druga i trzecia przesłanka, w przeciwieństwie do pierwszej nie jest już taka czytelna gdyż zawiera zwroty niedookreślone takie jak „główna działalność” czy „przetwarzanie na dużą skalę” i z tego względu wymaga sprecyzowania. Podejmując się próby analizy zwrotu – główna działalność – jako przykład można wskazać prowadzenie działalności leczniczej przez szpitale i przetwarzanie związanych z tym danych biometrycznych. Pozostając przy tym przykładzie można wskazać dla odróżnienia, że działalnością poboczną / wspierającą szpitale będą czynności z zakresu IT czy administracji kadrowo-płacowej. Jednakże nie w każdym przypadku działalność tego typu będzie działalnością uboczną. Będzie tak np. w przypadku przedsiębiorców prowadzących działalność gospodarczą w zakresie prowadzenia biur rachunkowych dla których działalność w obszarze administracji kadr i płac będzie działalnością główną. Oceniając czy w danym przypadku działalność ma charakter główny czy uboczny  należy mieć na uwadze, czy dana aktywność realizuje główny cel ADO lub Procesora czy uboczny, lub czy dana aktywność stanowi tzw. core biznes czy tylko go wspiera lub uzupełnia.

Drugim zwrotem niedookreślonym jest przetwarzanie danych na dużą skalę. Zgodnie z motywem 91 RODO, przetwarzanie na dużą skalę zachodzi wówczas gdy zachodzi przetwarzanie znacznej ilości danych na szczeblu regionalnym, krajowym lub ponadnarodowym, co może wpłynąć na dużą liczbę osób oraz powodować wysokie ryzyko. Zgodnie ze stanowiskiem Grupy Roboczej Art. 29 przy analizie zwrotu „dużej skali” należy uwzględnić liczbę osób których dane są przetwarzane, która może być określona konkretną liczbą np. 2000 lub procentem odnoszonym do danej społeczności np. lokalnej. Ponadto, należy dokonać analizy zakresu przetwarzanych danych czym innym jest bowiem przetwarzanie np. tylko adresu e-mail, imienia i nazwiska oraz adresu do korespondencji, a czym innym  przetwarzanie danych osobowych pracowników w tym danych o stanie zdrowia (rejestr chorób zawodowych – art. 235 § 4 Kodeksu Pracy). Kolejnym kryterium podlegającym analizie jest kryterium czasu przetwarzania, bowiem im ten czas jest dłuższy tym ryzyko wystąpienia pewnych nieoczekiwanych zdarzeń wyższe.

Zważywszy na wskazane wyżej uwagi, należy podnieść, że w każdym przypadku niezbędne będzie przeprowadzenie analizy czy dany ADO lub Procesor nie są zobowiązani do powołania DPO. Przy czym, mając na uwadze, zasadę rozliczalności określoną w art. 5 ust. 2 RODO, należy przyjąć, że każdy ADO powinien umieć wykazać, że taka analiza została przeprowadzona. Zatem można z całą pewnością stwierdzić, że powinien on stworzyć i posiadać odpowiednią dokumentację z przebiegu tego procesu. Co więcej w każdym przypadku gdy w przedsiębiorstwie zaistnieją zmiany w tych obszarach powinna być przeprowadzona i udokumentowana ponowna analiza.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie Kto powinien wyznaczyć inspektora ochrony danych osobowych?

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Skontaktuj się

Tomasz Dziedzic

Radca Prawny, Ekspert współpracujący z Grant Thornton

Skontaktuj się

Tomasz Dziedzic

Radca Prawny, Ekspert współpracujący z Grant Thornton

Poproś o kontakt

Tomasz Dziedzic

Radca Prawny, Ekspert współpracujący z Grant Thornton

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.