Kto powinien wyznaczyć inspektora ochrony danych osobowych?08.03.2018

Przesłanki warunkujące obowiązek wyznaczenia inspektora danych osobowych (DPO) uregulowane zostały w art. 37 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Zgodnie z powołanym artykułem wyznaczenie  DPO jest obowiązkowe w trzech rodzajach przypadków.

Pierwsza sytuacja dotyczy organów i podmiotów publicznych i wydaje się najbardziej czytelna dla odbiorcy. Drugi przypadek obejmuje takich administratorów danych osobowych (ADO) oraz podmioty przetwarzające (Procesorzy), których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Trzecia sytuacja dotyczy takich ADO oraz Procesorów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO  (np. danych biometrycznych lub danych o stanie zdrowia) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Outsourcing ochrony danych osobowych (RODO)

Zapoznaj się z usługą

 

Druga i trzecia przesłanka, w przeciwieństwie do pierwszej nie jest już taka czytelna gdyż zawiera zwroty niedookreślone takie jak „główna działalność” czy „przetwarzanie na dużą skalę” i z tego względu wymaga sprecyzowania. Podejmując się próby analizy zwrotu – główna działalność – jako przykład można wskazać prowadzenie działalności leczniczej przez szpitale i przetwarzanie związanych z tym danych biometrycznych. Pozostając przy tym przykładzie można wskazać dla odróżnienia, że działalnością poboczną / wspierającą szpitale będą czynności z zakresu IT czy administracji kadrowo-płacowej. Jednakże nie w każdym przypadku działalność tego typu będzie działalnością uboczną. Będzie tak np. w przypadku przedsiębiorców prowadzących działalność gospodarczą w zakresie prowadzenia biur rachunkowych dla których działalność w obszarze administracji kadr i płac będzie działalnością główną. Oceniając czy w danym przypadku działalność ma charakter główny czy uboczny  należy mieć na uwadze, czy dana aktywność realizuje główny cel ADO lub Procesora czy uboczny, lub czy dana aktywność stanowi tzw. core biznes czy tylko go wspiera lub uzupełnia.

Drugim zwrotem niedookreślonym jest przetwarzanie danych na dużą skalę. Zgodnie z motywem 91 RODO, przetwarzanie na dużą skalę zachodzi wówczas gdy zachodzi przetwarzanie znacznej ilości danych na szczeblu regionalnym, krajowym lub ponadnarodowym, co może wpłynąć na dużą liczbę osób oraz powodować wysokie ryzyko. Zgodnie ze stanowiskiem Grupy Roboczej Art. 29 przy analizie zwrotu „dużej skali” należy uwzględnić liczbę osób których dane są przetwarzane, która może być określona konkretną liczbą np. 2000 lub procentem odnoszonym do danej społeczności np. lokalnej. Ponadto, należy dokonać analizy zakresu przetwarzanych danych czym innym jest bowiem przetwarzanie np. tylko adresu e-mail, imienia i nazwiska oraz adresu do korespondencji, a czym innym  przetwarzanie danych osobowych pracowników w tym danych o stanie zdrowia (rejestr chorób zawodowych – art. 235 § 4 Kodeksu Pracy). Kolejnym kryterium podlegającym analizie jest kryterium czasu przetwarzania, bowiem im ten czas jest dłuższy tym ryzyko wystąpienia pewnych nieoczekiwanych zdarzeń wyższe.

Zważywszy na wskazane wyżej uwagi, należy podnieść, że w każdym przypadku niezbędne będzie przeprowadzenie analizy czy dany ADO lub Procesor nie są zobowiązani do powołania DPO. Przy czym, mając na uwadze, zasadę rozliczalności określoną w art. 5 ust. 2 RODO, należy przyjąć, że każdy ADO powinien umieć wykazać, że taka analiza została przeprowadzona. Zatem można z całą pewnością stwierdzić, że powinien on stworzyć i posiadać odpowiednią dokumentację z przebiegu tego procesu. Co więcej w każdym przypadku gdy w przedsiębiorstwie zaistnieją zmiany w tych obszarach powinna być przeprowadzona i udokumentowana ponowna analiza.

Źródła:
1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych),
2. Ustawa z dnia 26 czerwca 1974 r. Kodeks Pracy (Dz.U.2018.108 t.j. z dnia 2018.01.12),
3. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), Grupa Robocza Art. 29 ds. Ochrony Danych, materiały dostępne na stronie https://giodo.gov.pl/pl/1520296/10056

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com
Audyt – Podatki – Outsourcing – Konsulting
Member of Grant Thornton International Ltd

Artykuły powiązane:

Procedura MOSS

Czytaj więcej →

Depozyt nieprawidłowy – co należy(...)

Czytaj więcej →

Zmiany w kasach fiskalnych od(...)

Czytaj więcej →

Ograniczony katalog wydatków stanowiących KUP(...)

Czytaj więcej →

Oddział spółki zagranicznej w Polsce(...)

Czytaj więcej →

Wróć do najnowszych publikacji

Dalej →
Blog podatkowy

Blog Doradców Podatkowych

Piszemy o podatkach dla przedsiębiorców

Przejdź do Bloga
Blog Księgowych

Blog Księgowość jest sexy

Księgowość jest ciekawa, intrygująca po prostu sexy.

Przejdź do Bloga
Blog Kadr i Płac

Poradnik HR

Piszemy i dyskutujemy
o kadrach, płacach
i "miękkim" HR

Przejdź do Bloga
Skontaktuj się z nami