Już niedługo administratorzy danych i podmioty je przetwarzające będą musieli zdecydować, czy powołać takiego inspektora i kto powinien nim być. Okazuje się, że funkcję tę można powierzyć np. pracownikowi działu kadr, choć nie jest to rekomendowane.
Dziś ostatni, szósty z cyklu artykułów przygotowywanych we współpracy z kancelarią Raczkowski Paruch, w których szczegółowo omawiamy zagadnienia związane z ochroną danych pracowników i kandydatów do pracy.
Cykl jest inspirowany licznymi zmianami w tym obszarze prawa (zarówno projektowanymi, jak i już przyjętymi). Od 25 maja 2018 r. w państwach członkowskich UE, a tym samym również w Polsce, będzie bowiem stosowane ogólne rozporządzenie o ochronie danych osobowych (RODO). A to wymusza dostosowanie do niego polskich regulacji, co ma nastąpić na mocy ustawy o ochronie danych osobowych oraz ustawy zawierającej przepisy ją wprowadzające (obydwie są obecnie na etapie projektów). Ta druga, co warto podkreślić, obejmie m.in. nowelizację kodeksu pracy.
Poprzednie artykuły z cyklu ukazały się w tygodniku Kadry i Płace:
● 12 października – „Monitorowanie pracowników. Co można dziś i co przyniesie jutro” (DGP nr 198/2017),
● 26 października – „Zgoda pracownika na przetwarzanie danych – teraz i w przyszłości” (DGP nr 208/2017),
● 2 listopada – „Konflikt w firmie pozwoli związkowi zawodowemu pozyskać dodatkowe dane pracowników” (DGP nr 212/2017),
● 9 listopada – „RODO, czyli (r)ewolucja w podejściu do transgranicznego przetwarzania danych” (DGP nr 217/2017)
● 16 listopada – „Pracownik jak podejrzany? Spokojnie, kodeks pracy ochroni nieufnych” (DGP nr 222/2017).
Instytucję inspektora ochrony danych (IOD) wprowadza RODO, tj. rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, które Polska zacznie stosować od 25 maja 2018 r.
Dla niektórych administratorów danych i podmiotów je przetwarzających wyznaczenie IOD będzie obowiązkowe, dla pozostałych – dobrowolne. Jednak nawet wtedy, gdy przepisy tego nie wymagają, wyznaczenie inspektora może się okazać korzystnym rozwiązaniem. Po pierwsze, łatwiej będzie wówczas przestrzegać regulacji dotyczących ochrony danych osobowych. Po drugie, ustanowienie IOD może się również przyczynić do wzrostu konkurencyjności przedsiębiorstwa.
Co istotne, każdy podmiot objęty przepisami RODO powinien umieć wykazać, że przeprowadził stosowne analizy w celu ustalenia, czy ma obowiązek wyznaczenia IOD. Dlatego bardzo istotna jest znajomość czynników, od których zależy powstanie tego obowiązku, a także znajomość wymogów, jakie przepisy RODO stawiają osobom, które miałyby pełnić tę funkcję.
Obowiązkowe wyznaczenie IOD
RODO wskazuje na obowiązek wyznaczenia IOD w organach lub podmiotach publicznych, a także w następujących dwóch przypadkach:
1) gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania na dużą skalę, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą;
2) gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Zgodnie z motywem 97 RODO przetwarzanie danych osobowych jest główną działalnością, jeżeli obejmuje zasadnicze, a nie poboczne czynności. Będzie to zatem działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane.
Pojęciem tym objęta będzie również działalność w zakresie przetwarzania danych nierozerwalnie związana z działalnością główną. Przykładowo, działalnością główną szpitali będzie zapewnianie opieki medycznej, co nie byłoby możliwe bez przetwarzania danych medycznych. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna.
Oczywiście wszystkie podmioty prowadzą także inną działalność w zakresie przetwarzania danych, która umożliwia prowadzenie działalności głównej, np. prowadzą listę płac. Działania te mają jednak charakter poboczny i same w sobie nie determinują obowiązku powołania IOD.
Przetwarzanie na dużą skalę
Definiując pojęcie dużej skali przetwarzania, które jest przesłanką zaistnienia obowiązku powołania IOD przez administratora lub podmiot przetwarzający dane, nie jest możliwe wskazanie czy to konkretnej wartości, czy rozmiaru zbioru danych, czy liczby osób, których dane dotyczą. Przy określaniu, czy przetwarzanie następuje na dużą skalę, zaleca się jednak uwzględnianie pewnych czynników. [schemat]
Przykładem przetwarzania na dużą skalę będzie przetwarzanie w ramach prowadzonej działalności:
wdanych pacjentów przez szpital,
wdanych osób korzystających ze środków komunikacji miejskiej przez przedsiębiorstwo transportowe (np. śledzenie za pośrednictwem kart miejskich),
wdanych klientów przez banki albo ubezpieczycieli,
wdanych do celów reklamy behawioralnej przez wyszukiwarki,
wdanych przez dostawców usług telefonicznych lub internetowych.
Z kolei nie będzie już objęte tym pojęciem przetwarzanie danych pacjentów – klientów, dokonywane przez pojedynczego lekarza czy przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.
Regularne i systematyczne monitorowanie
Z kolei pojęcie regularnego i systematycznego monitorowania obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Nie jest to jednak ograniczone jedynie do środowiska online – śledzenie w sieci jest tylko jednym z przykładów monitorowania zachowań osób, których dane dotyczą.
Monitorowanie regularne to takie, które spełnia co najmniej jeden z następujących warunków:
wodbywa się stale albo występuje w określonych odstępach czasu przez ustalony okres,
wjest cykliczne albo powtarzające się w określonym terminie,
wodbywa się stale lub okresowo.
Natomiast aby monitorowanie spełniało warunek systematyczności, musi się odbywać w jednej z poniższych postaci:
wzgodnie z pewnym schematem czy w ramach określonej strategii,
wbyć zaaranżowane, zorganizowane bądź metodyczne,
ww ramach generalnego planu zbierania danych.
I tak przykładowo w pojęciu tym będą się mieścić:
wobsługa sieci telekomunikacyjnej czy świadczenie usług telekomunikacyjnych,
wprzekierowywanie wiadomości e-mail,
wprofilowanie i ocenianie dla celów oceny ryzyka (np. dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
wśledzenie lokalizacji, np. w aplikacjach telefonicznych,
wprogramy lojalnościowe,
wreklama behawioralna.
Kto się do tego nadaje
Ogólne rozporządzenie o ochronie danych osobowych wskazuje, że IOD powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Musi także posiadać umiejętność wykonywania działań, jakie nakłada na niego RODO.
Przepisy nie wskazują, jakimi kwalifikacjami zawodowymi ma się posługiwać IOD. Niewątpliwie musi się bardzo dobrze poruszać w sferze polskich i europejskich przepisów dotyczących ochrony danych osobowych. Powinien również znać realia biznesowe w sferze, w której działa angażujący go podmiot.
Co do fachowej wiedzy, to przepisy nie regulują, jaki jej poziom ma reprezentować IOD. Bez wątpienia musi to być jednak poziom, który będzie współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach danej jednostki. Jeśli przykładowo dany podmiot przetwarza duże ilości danych i jeszcze do tego regularnie przekazuje je do państw trzecich, to IOD zdecydowanie musi posiadać odpowiednią fachową wiedzę w tym zakresie.
Jeżeli chodzi natomiast o możliwość wykonywania zadań, to IOD powinien być odpowiednio umiejscowiony w strukturze danego podmiotu, co umożliwi mu prawidłowe wykonywanie powierzonych zadań. Inspektor powinien rzetelnie i z najwyższą starannością wykonywać swoje obowiązki. I wreszcie to on powinien stać na straży przestrzegania przepisów dotyczących ochrony danych osobowych w danym podmiocie, w szczególności RODO.
Inspektorem ochrony danych osobowych może być również pracownik działu kadr. Oczywiście z zastrzeżeniem spełnienia powyższych wymogów, tj. w szczególności jeśli posiada fachową wiedzę z zakresu ochrony danych osobowych. Należy jednak pamiętać, że obowiązki, które na inspektora nakłada RODO, są bardzo szerokie i zdecydowanie czasochłonne. Pracodawcy powinni zatem ocenić możliwość połączenia ich z innymi obowiązkami dotychczas wykonywanymi przez pracownika działu kadr, co w praktyce może być bardzo trudne. Tym bardziej że zmiany w zakresie ochrony danych osobowych wynikające z RODO są doniosłe i ważne. Do pełnienia funkcji IOD rekomendowana jest zatem osoba, która będzie dedykowana tylko do wykonywania czynności związanych z danymi.
Gdy już się zdecydujemy
W sytuacji, w której podmiot dobrowolnie decyduje się na wyznaczenie IOD, wymagania wskazane w art. 37 i 39 RODO stosuje się odpowiednio do jego wyznaczenia, statusu i zadań, tak jakby wyznaczenie było obowiązkowe. Powyższe nie uniemożliwia podmiotom, które nie są zainteresowane dobrowolnym wyznaczeniem IOD ani też zobowiązane do tego przez prawo, wyznaczenia pracownika albo zatrudnienia zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W przypadku powołania takiej osoby istotne jest jednak, aby nazwa stanowiska, status pracownika oraz jego pozycja i zadania nie wprowadzały w błąd. W związku z tym zaleca się poinformowanie nie tylko pracowników organizacji, lecz także organów ochrony danych, osób, których te dane dotyczą, i ogółu społeczeństwa, że osoba zatrudniona nie jest IOD w świetle przepisów RODO.
Art. 37 ust. 1 RODO
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Kryteria pomocne przy ustaleniu, czy przetwarzanie danych następuje na dużą skalę
● Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa.
● Zakres przetwarzanych danych osobowych.
● Okres, przez jaki są one przetwarzane.
● Zakres geograficzny przetwarzania danych osobowych.
