Inspektor ochrony danych

W poprzednich artykułach dowiedziałeś się o obowiązujących przepisach w zakresie ochrony danych osobowych oraz o podstawowych pojęciach związanych z ochroną danych osobowych.

Przedmiotem kolejnego artykułu miało być omówienie podstaw prawnych uprawniających do przetwarzania danych. Z uwagi jednak na napływające do dostawcy usługi AsPhys pytania od klientów, niniejszy artykuł dotyczyć będzie osoby Inspektora Ochrony Danych (dalej zwany w artykule „Inspektorem”). Zwieńczeniem artykułu będzie próba odpowiedzi na pytanie kiedy powinieneś, a kiedy nie musisz powoływać Inspektora.

Jeżeli zawierałeś umowę powierzenia przetwarzania danych osobowych w czasie obowiązywania RODO, mogłeś natknąć się na postanowienia, w których przewidziano miejsce przeznaczone dla wskazania osób pełniących funkcję Inspektora Ochrony Danych. Takie postanowienie znajduje się między innymi w umowie powierzania danych osobowych jaką stosuje dostawca usług AsPhys, który mając na względzie charakter swojej działalności zdecydował powołać u siebie Inspektora.

Pojawia się zatem pytanie czy każda strona umowy powierzenia musi mieć wyznaczoną osobę do pełnienia tej funkcji?

Zanim jednak odpowiemy na to pytanie, omówmy następujące zagadnienia:

  • Kto może powołać Inspektora?
  • Kto może zostać Inspektorem?
  • Kim jest Inspektor oraz jakie ma obowiązki?
  • Jaka jest odpowiedzialność Inspektora?

Zagadnienia ogólne – status prawny Inspektora:

Zgodnie z art. 37 RODO Inspektor może zostać powołany zarówno przez administratora danych jak i przez podmiot przetwarzający. Jak już wiesz z poprzedniego artykułu, najczęściej spotykana jest sytuacja gdy dana osoba lub podmiot, występuje w obu tych rolach (oczywiście w odmiennych sytuacjach prawnych).

W konsekwencji, Inspektor czuwa nie tylko nad zbieraniem i przetwarzaniem danych jakie gromadzi dany pomiot jako administrator danych, ale zajmuje się także zagadnieniami związanymi z powierzonymi danymi.

Inspektor jest osobą, która powinna być włączana we wszystkie sprawy związane z ochroną danych osobowych, w podmiocie w którym pełni tę funkcję (art. 38 ust. 1 RODO). Z drugiej strony Inspektor powinien być wpierany w wypełnianiu swoich zadań poprzez zapewnianie mu niezbędnych narzędzi oraz dostępu do danych i rejestru wykonywanych na nich operacji. Inspektor powinien na bieżąco uzupełniać swoją wiedzę w zakresie ochrony danych osobowych, a powierzający mu zadania powinien wpierać w tym Inspektora.

Inspektor powinien sprawować swoja funkcję autonomicznie. Pełnienie obowiązków Inspektora wiąże się bowiem z kontrolowaniem oraz nadzorowaniem legalności procesów przetwarzania danych osobowych. Inspektor weryfikuje także zabezpieczenie danych osobowych. Osoba pełniąca taką funkcję ma zatem dość niewdzięczną rolę, gdyż jej zadaniem jest wyszukiwanie uchybień w tym zakresie oraz zgłaszanie ich do kierownictwa. Z tego względu Inspektor powinien podlegać bezpośrednio osobie lub podmiotowi, który go zatrudnia lub zleca mu pełnienie tej funkcji. W przypadku spółek kapitałowych (spółka z ograniczoną odpowiedzialnością oraz spółka akcyjna) Inspektor powinien podlegać bezpośrednio zarządowi spółki.

Przepisy nie wymagają posiadania ścisłych kwalifikacji, które warunkują możliwość pełnienia funkcji Inspektora. Nie trzeba zatem wykazywać się tytułem naukowym czy też uprawnieniami lub certyfikatami aby pełnić tę funkcję. Przepis art. 37 RODO wskazuje dość ogólnie, iż Inspektor powinien być wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Inspektorem może być zarówno pracownik zatrudniony w firmie jak i osoba realizującą tę funkcję w oparciu o umowę o świadczenie usług. Aktualnie na rynku spotykane są różne modele. Część podmiotów powierza pełnienie tej funkcji, któremuś ze swoich pracowników, który posiada (lub ją nabywa) wiedzę w zakresie danych osobowych. Niektórzy poszukują i zatrudniają na etacie fachowców z zewnątrz. Warto mieć na uwadze, że Inspektor może wykonywać w podmiocie także inne zadania i obowiązki, pod warunkiem że nie powodują one konfliktu interesów.

Często spotkać można także tzw. „zawodowych” inspektorów, którzy świadczą te usługi w wielu podmiotach jednocześnie na podstawie umów o świadczenie usług. Takie rozwiązanie ma swoje wady i zalety. Do zalet można zaliczyć fakt, iż osoba taka najczęściej posiada odpowiednią wiedzę z zakresu ochrony danych osobowych oraz doświadczenie wynikające z obsługi wielu podmiotów. Na minus z pewnością należy zaliczyć, że częstokroć osoba taka nie zna dobrze procesów zachodzących w danym podmiocie, nie zna jego specyfiki oraz nie monitoruje na bieżąco występujących procesów oraz bezpieczeństwa danych.

Jeżeli prowadzisz jednoosobową działalność gospodarczą i nie zatrudniasz dodatkowego personelu czy to na umowie o pracę czy też w ramach umowy cywilnoprawnej, możesz zastanawiać się czy w takiej sytuacji sam możesz wyznaczyć siebie na Inspektora. RODO wprost tego nie zabrania, jednak mając na uwadze cel tych przepisów, takie rozwiązanie byłoby wadliwe. Pomijając zagadnienia prawne, z czysto funkcjonalnego punktu widzenia, nie sposób abyś sam siebie monitorował w zakresie przestrzegania przepisów RODO. Będąc administratorem czy też podmiotem przetwarzającym, po prostu musisz przestrzegać tych przepisów, a kwestia kontrolowania w tym zakresie powinna być po stronie innej osoby.

W kontekście działań Inspektora powinieneś mieć na uwadze, że Inspektor działa nie tylko wewnątrz organizacji lecz także na zewnątrz. Pełni on bowiem także funkcję osoby kontaktowej, do której mogą zgłaszać się osoby (których dane przetwarzasz) w celu realizacji przysługujących im na mocy rozporządzenia praw.

Szczegółowe zadania Inspektora określone są w art. 39 RODO:

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
    Inspektor powinien zatem dobrze znać przepisy o ochronie danych osobowych i pełnić rolę osoby uświadamiającej w tym zakresie, może to przybrać formę szkoleń oraz konsultacji.

  2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
    Inspektor powinien na bieżąco monitorować zachodzące procesy związane z przetwarzanie danych, może to przyjmować formę okresowych audytów lub kontroli oraz szkoleń podczas których omawiane są spostrzeżone uchybienia.

  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
    jest to obowiązek bezpośrednio związany z tzw. procedurą DPIA – kwestia bardzo szeroka i wymagającą omówienia w osobnym artykule.

  4. współpraca z organem nadzorczym;
    w przypadku ewentualnej kontroli Inspektor, jako osoba posiadająca fachową wiedzę i znajomość zachodzących w podmiocie procesów, jest osobą która będzie najbardziej kompetentna w rozmowach z urzędnikami kontrolującymi.

  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.
    to również zagadnienie związane z tzw. procedurą DPIA, do omówienia przy innej okazji.

Odpowiedzialność:

Musisz wiedzieć, że powołanie Inspektora nie powoduje, że przejmuje on za dany podmiot odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. W dalszym ciągu to administrator danych lub podmiot przetwarzający jest zobowiązany do stosowania przepisów, a w razie powstania szkód na skutek ich naruszenia, to on ponosi pierwszorzędną odpowiedzialność. Nie będzie skuteczne powoływanie się w tym zakresie na działania lub zaniechania Inspektora. W takiej sytuacji możliwe będą jedynie roszczenia regresowe do Inspektora.

Obowiązek wyznaczenia Inspektora:

Wyznaczenie Inspektora zasadniczo nie jest obowiązkowe. Sytuację gdy taki obowiązek występuje uregulowane są w art. 37 ust. 1 RODO. Jeżeli żadna z tych sytuacji nie ma miejsca, wtedy podmiot nie musi wyznaczać Inspektora.

Oczywiście nawet w sytuacji gdy obowiązek taki formalnie nie istnieje, nic nie stoi na przeszkodzie aby powołać Inspektora, mogą bowiem występować inne (nie przewidziane prawem) okoliczności, które wskazują na przydatność powołania Inspektora. Okoliczność powołania Inspektora z pewnością będzie pozytywnie oceniona w sytuacji ewentualnych kontroli.

W celu ustalenia czy obowiązek taki istnieje, każdy administrator oraz podmiot przetwarzający powinien dokonać analizy swojej sytuacji. Jeżeli stwierdzimy, że Inspektora nie musimy powoływać, dla celów dowodowych warto rozważyć sporządzenie pisemnej analizy, w której opisujemy jakie okoliczności wzięliśmy pod uwagę i dlaczego nie powołujemy Inspektora.

Zgodnie z RODO obowiązkowe wyznaczenie Inspektora powinno mieć miejsce w trzech przypadkach:

  1. gdy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
    do podmiotów publicznych zalicza się m.in. organy władzy krajowej, organy regionalne i lokalne.

  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę
    rozważając tę przesłankę bierze się pod uwagę przede wszystkim okoliczność „regularnego i systematycznego monitorowania osób, których dane dotyczą„. Przyjmuje się, że przesłanka ta przede wszystkim odnosi się do monitorowania zachowani podejmowanych przez użytkowników w Internecie, które miałoby na celu późniejsze zastosowanie technik w celu profilowania osoby fizycznej lub prognozowanie jej osobistych preferencji, zachowań i postaw (motyw 24 preambuły do RODO).

  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.
    to jest przesłanka, która potencjalnie może skutkować obowiązkiem powołania Inspektora w przypadku działalności fizjoterapeutycznej. Konieczne jest zatem rozłożenie jej na czynniki pierwsze:
    1. „główna działalność” – za główną działalność należy uważać takie procesy na danych osobowych, które są niezbędne do osiągnięcia celów administratora danych lub procesora. Zgodnie ze stanowiskiem tzw. Grupy Roboczej art. 29:
      Główna działalność „obejmuje wszelkie działania, w których przetwarzanie danych stanowi nieodłączną część działalności administratora lub podmiotu przetwarzającego. Na przykład przetwarzanie danych dotyczących stanu zdrowia, takich jak dokumentacja zdrowotna pacjenta, powinno być uważane za jedno z głównych działań szpitala, w związku z czym szpitale muszą wyznaczyć Inspektora„.

    2. „duża skala” – RODO nie definiuje tego pojęcia. Zgodnie jednak ze stanowiskiem Grupy Roboczej art. 29 należy wziąć pod uwagę
      • Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
      • Zakres przetwarzanych danych osobowych;
      • Okres, przez jaki dane są przetwarzane;
      • Zakres geograficzny przetwarzania danych osobowych

      Grupa podaje jako przykład „przetwarzania na dużą skalę” przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności.
      Natomiast jako przykład gdy nie występuje duża skala, gdy przetwarzanie dokonywane przez pojedynczego lekarza.
      Można te stanowisko odnieść do działalności fizjoterapeutycznej, która także polega na realizacji świadczeń medycznych i w ramach której dochodzi do przetwarzania danych pacjentów.
      W tym kierunku zresztą zmierza w Polsce branża medyczna, gdyż w przesłanym do akceptacji Prezesa Urzędu Ochrony Danych Osobowych Kodeksie postępowania dla sektora ochrony zdrowia (pkt 5.11), zaproponowano aby przyjąć, iż:

      Przetwarzanie nie jest przetwarzaniem na dużą skalę, o którym mowa w art. 35 ust. 3 lit. b) RODO gdy dotyczyć będzie podmiotu będącego indywidualną praktyką zawodową, w odniesieniu do danych przetwarzanych w ramach wykonywanej przez osobę wykonującą zawód medyczny działalności leczniczej, w tym jednoosobowej działalności gospodarczej jako indywidualnej praktyki fizjoterapeutycznej, indywidualnej praktyki fizjoterapeutycznej wyłącznie w miejscu wezwania”.

    3. „dane szczególnych kategorii”  to między innymi dane medyczne, zatem takie dane jakie występują w działalności fizjoterapeutycznej.

    Powierzenie danych innemu podmiotowi:

    Dla obowiązku powołania Inspektora nie ma znaczenia fakt, iż w zakresie danych osobowych, w stosunku do których jesteś administratorem danych, nastąpi powierzenie tych danych na rzecz innego podmiotu – tak jak ma to miejsce w sytuacji skorzystania przez fizjoterapeutę z usług AsPhys.

    Nie zmienia to bowiem Twojego statusu, nadal jesteś administratorem tych danych i odpowiadasz za ich zabezpieczenie. Każdy z podmiotów (administrator i podmiot przetwarzający) ponosi odpowiedzialność we własnym zakresie i każdy z nich może być odrębnie zobowiązany do wyznaczenia Inspektora.

    Podsumowując:

    Jeżeli prowadzisz indywidualną praktykę fizjoterapeutyczną najpewniej nie będziesz miał obowiązku wyznaczania Inspektora – rozważ jednak przeprowadzenie w tym zakresie analizy.

    Jeżeli formalnie prowadzisz indywidualną praktykę lecz dodatkowo część zadań delegujesz na konsultantów i innych współpracowników – rozważ powołanie Inspektora, a jeżeli uznasz, że go nie powołujesz, rozważ spisanie przeprowadzonej analizy.

    Jeżeli prowadzisz dużą placówkę, w ramach której zatrudniasz znaczne grono fizjoterapeutów i pokaźny personel pomocniczy, a grono pacjentów jest znaczne, wyznaczanie Inspektora może być obowiązkowe.

    Oczywiście najtrudniejsze są sytuację „pomiędzy”. W tym zakresie przeprowadzenie analizy może być niezbędne.

    Na koniec, powinieneś mieć na uwadze, że przepisy są dość ogólne, a stanowisko Grupy Roboczej art. 29 ma co prawda istotne znaczenie, nie jest jednak wiążącą interpretacją. Natomiast Kodeks postępowania dla sektora ochrony zdrowia nie został jeszcze zatwierdzony. Każda sytuacja powinna podlegać indywidualnej analizie.

    autor: radca prawny Mateusz Nowak
    strona firmowa: www.radcaprawnyit.pl
    adres e-mail: mateusznowak@radcaprawnyit.pl

Archiwum