Wyznaczenie inspektora ochrony danych osobowych
Zastanawiasz się, czy masz obowiązek wyznaczenia inspektora ochrony danych? Nie wiesz, czy prawidłowo powołałeś inspektora ochrony danych. A może zastanawiasz się, kto nie może zostać wyznaczony inspektorem? Z artykułu dowiesz się:
- kiedy wyznaczenie inspektora ochrony danych jest obowiązkowe,
- kto nie może zostać wyznaczony inspektorem ochrony danych,
- w jaki sposób prawidłowo wyznaczyć inspektora ochrony danych.
Obowiązek wyznaczenia inspektora ochrony danych
Ogólne rozporządzenie o ochronie danych [RODO] nakazuje wyznaczenie inspektora ochrony danych zawsze wtedy, gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Polska ustawa precyzuje, że organami o których mowa w tym przepisie należą: jednostki sektora finansów publicznych, instytuty badawcze oraz Narodowy Bank Polski,
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, chodzi tu przy tym zarówno o monitoring wizyjny (np. w dużych galeriach handlowych), monitoring pracowników (w dużych zakładach pracy), jak i monitorowanie zachowań w sieciach internetowych,
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, przykładem podmiotów należących do tej kategorii będą szpitale, sieci prywatnych klinik i przychodni, czy też kancelarie, bądź biura rachunkowe o co najmniej regionalnym zasięgu. Wyznaczenie inspektora ochrony danych nie jest wymagane w przypadku osób prowadzących indywidualne praktyki lekarskie, bądź lokalne kancelarie prawne lub biura rachunkowe.
Kto nie powinien zostać wyznaczony inspektorem
RODO wymaga, aby inspektor ochrony danych nie wykonywał w danym podmiocie zadań, które mogłyby prowadzić do konfliktu interesów. Z tego powodu uznaje się, że inspektorem nie może być m.in.:
- członek zarządu spółki albo wspólnik prowadzący jej sprawy – osoby te bowiem występują w roli administratora danych osobowych, pełniąc funkcję inspektora zobowiązane byłyby zatem do kontrolowania samych siebie,
- główny informatyk w przedsiębiorstwie – RODO kładzie duży nacisk na bezpieczeństwo ochrony danych, jednym z jego podstawowych elementów jest zabezpieczenie sieci komputerowych. Informatyk odpowiedzialny za wdrożenie i nadzór nad takimi zabezpieczeniami, będąc jednocześnie inspektorem ochrony danych, również kontrolowałby swoją pracę.
Ze względu natomiast na fakt, że inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań ustawowych, na stanowisko to nie powinny być wyznaczane osoby nie posiadające tego typu kwalifikacji.
Jak wyznaczyć inspektora ochrony danych
Sposób powołania inspektora zależny jest od rodzaju podmiotu, w którym jest on wyznaczany. W przypadku spółek powinno to nastąpić bądź w drodze uchwały zarządu (jeżeli ten organ funkcjonuje w spółce), bądź uchwałą wspólników (w spółkach osobowych). W podmiotach sektora publicznego wyznaczenie powinno przybrać formę zarządzenia dyrektora generalnego lub organu administracji publicznej. Uchwała albo zarządzenie poprzedzają zawarcie z inspektorem ochrony danych umowy o pracę albo umowy cywilnoprawnej.
Przedsiębiorca jednoosobowy natomiast może wyznaczyć inspektora poprzez zawarcie z nim umowy na pełnienie tej funkcji. Może to być przy tym zarówno umowa o pracę, jak i umowa cywilnoprawna.