Ustawa o ochronie danych osobowych 2018. Do 31 lipca trzeba wyznaczyć i zgłosić inspektora ochrony danych

RODO ma kolejne konsekwencje. Mało kto zwrócił na to uwagę. A ustawa już obowiązuje.

Rzutem na taśmę w miniony czwartek, niecałą godzinę przed wejściem w życie RODO, została opublikowana w Dzienniku Ustaw nowa Ustawa o ochronie danych osobowych z dnia 10 maja 2018 r., która weszła w życie 25 maja 2018 roku. Określa ona także przepisy przejściowe. Według nich jeśli kogoś obejmuje obowiązek wyznaczenia inspektora ochrony danych, musi to zrobić najpóźniej do 31 lipca. Ale kiedy go powała, ma tylko 14 dni na zgłoszenie jego danych do dawnego GIODO, teraz Prezesa Urzędu Ochrony Danych.

Poprzednia ustawa o ochronie danych osobowych została prawie całkowicie uchylona. Nowa w medialnej burzy wywołanej wejściem w życie samego RODO praktycznie przeszła bez echa. A wprowadza kilka istotnych terminów, na które trzeba zwrócić uwagę. Warto też dodać, że dopiero w lipcu parlament ma zająć się specustawą, która hurtowo zmieni około 200 innych w zakresie dotyczącym danych osobowych w różnych branżach, sektorach gospodarki, urzędach i instytucjach np. w służbie zdrowia.

Przeanalizowaliśmy przepisy przejściowe i dostosowujące nowej Ustawy o ochronie danych osobowych. Wygląda na to, że nowe obowiązki będą miały duże agencje interaktywne, SEO/SEM, domy mediowe. Ale ocenić musi to każda firma sama.

Czas do 31 lipca 2018 roku na wyznaczenie IOD

Art. 158. Ustawy o ochronie danych osobowych:

Ustęp 1. Osoba pełniąca w dniu 24 maja 2018 r. funkcję administratora bezpieczeństwa informacji, o którym mowa w ustawie uchylanej w art. 175, staje się inspektorem ochrony danych i pełni swoją funkcję do dnia 1 września 2018 r., chyba że przed tym dniem administrator zawiadomi Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w sposób określony w art. 10 ust. 1.

Ustęp 2. Osoba, która stała się inspektorem ochrony danych na podstawie ust. 1, pełni swoją funkcję także po dniu 1 września 2018 r., jeżeli do tego dnia administrator zawiadomi Prezesa Urzędu o jej wyznaczeniu w sposób określony w art. 10 ust. 1.

Ustęp 3. Osoba, o której mowa w ust. 1, może zostać odwołana przez administratora bez zawiadomienia Prezesa Urzędu o wyznaczeniu innej osoby na inspektora ochrony danych, w przypadku gdy administrator nie jest obowiązany do wyznaczenia inspektora ochrony danych.

4. Administrator, który przed dniem wejścia w życie niniejszej ustawy nie powołał administratora bezpieczeństwa informacji, o którym mowa w ustawie uchylanej w art. 175, jest obowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 rozporządzenia 2016/679 i zawiadomienia Prezesa Urzędu o jego wyznaczeniu, w terminie do dnia 31 lipca 2018 r.

5. Podmiot przetwarzający, obowiązany do wyznaczenia inspektora ochrony danych na podstawie art. 37 rozporządzenia 2016/679, wyznacza inspektora ochrony danych i zawiadamia Prezesa Urzędu o jego wyznaczeniu, w sposób określony w art. 10 ust. 1, w terminie do dnia 31 lipca 2018 r.

IOD należy zgłosić do prezesa Urzędu Ochrony Danych i opublikować na stronie internetowej

Według Art. 8. Ustawy o ochronie danych osobowych, administrator i podmiot przetwarzający są obowiązani do wyznaczenia inspektora ochrony danych, zwanego dalej „inspektorem”, w przypadkach i na zasadach określonych w art. 37 rozporządzenia 2016/679.

Art. 9. Przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się: 1) jednostki sektora finansów publicznych; 2) instytuty badawcze; 3) Narodowy Bank Polski. Dziennik Ustaw – 4 – Poz. 1000

W Ustawie podane są również terminy. Zgodnie z art. 10. 1., podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Według ustępu 2, zawiadomienie może zostać dokonane przez pełnomocnika podmiotu, o którym mowa w ust. 1. Do zawiadomienia dołącza się pełnomocnictwo udzielone w formie elektronicznej.

Ustęp 3. wskazuje, że w zawiadomieniu oprócz danych, o których mowa w ust. 1, wskazuje się:

1) imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;

2) firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;

3) pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt 1 i 2;

4) numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

Zgodnie z ustępem 4, podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o każdej zmianie danych, o których mowa w ust. 1 i 3, oraz o odwołaniu inspektora, w terminie 14 dni od dnia zaistnienia zmiany lub odwołania.

Ustęp 5 określa, że w przypadku wyznaczenia jednego inspektora przez organy lub podmioty publiczne albo przez grupę przedsiębiorców, każdy z tych podmiotów dokonuje zawiadomienia, o którym mowa w ust. 1 i 4. 6. Zawiadomienia, o których mowa w ust. 1 i 4, sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

Art. 11. mówi natomiast, że podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust. 1, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności.

Kto musi wyznaczyć IOD (inspektora ochrony danych) czyli DPO (ang. data protection officer)?

RODO w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: 

1. przetwarzania dokonuje podmiot publiczny z wyłączeniem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Wobec braku w RODO definicji pojęcia „organu lub podmiotu publicznego” użytego w art. 37 ust 1 lit a Grupa Robocza art. 29 w Wytycznych dotyczących inspektora ochrony danych wskazuje, że to pojęcie powinno zostać określone na poziomie przepisów krajowych. W Polsce zostało to określone w nowej ustawie o ochronie danych osobowych (patrz wyżej).

2. główna działalność administratora lub przetwarzającego polega na przetwarzaniu danych na dużą skalę poprzez systematyczne i regularne monitorowanie osób.

I tu cytat ze strony GIODO:

Przepis ten posługuje się kilkoma kryteriami, wymagającymi wykładni ze względu na ich treść („główna działalność”, „regularne i systematyczne monitorowanie” i „na dużą skalę”). O obowiązku wyznaczenia inspektora ochrony danych przesądza spełnienie wszystkich wymienionych w tym przepisie kryteriów.
W dokonywaniu wykładni użytych terminów pomocne mogą być bezpośrednie lub pośrednie wskazówki interpretacyjne zawarte w motywach RODO stanowiących jego kontekst normatywny oraz Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych.  Jeśli chodzi o termin „główna działalność” to w jego wyjaśnieniu pomocny jest motyw 97 RODO, zgodnie z którym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.
Grupa Robocza art. 29 w Wytycznych wyjaśnia, że „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora, ale też działalność w zakresie przetwarzania danych nierozerwalnie związanego z działalnością główną, np. działalnością główną szpitali jest zapewnianie opieki medycznej, ale ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej, tak więc przetwarzanie danych zawartych w tej dokumentacji należy zaklasyfikować jako „działalność główną”. Oznacza to, że np. szpitale będą miały obowiązek powołania DPO. 
Ogólne rozporządzenie o ochronie danych nie definiuje również pojęcia „dużej skali”. Wskazówki dotyczące interpretacji tego pojęcia znajdują się w motywie 91 RODO, zgodnie z którym ocena skutków dla ochrony danych powinna „mieć zastosowanie w szczególności do operacji przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą”. Ocena kryterium „dużej skali” z pewnością będzie musiała być dokonywana w kontekście konkretnego stanu faktycznego, niemniej z przytoczonych fragmentów RODO wynika, że w poszczególnych przypadkach konieczne być może uwzględnienie proporcji, np. wielkości terytorium, na którym następować będzie przetwarzanie danych osobowych (im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę).  Grupa Robocza art. 29 aktualnie nie zaleca wskazywania konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Nie mniej Grupa Robocza art. 29 nie wyklucza sytuacji, w której, wraz z rozwojem praktyki ukształtują się standardy, które umożliwiałyby kwantytatywne określenie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania.

Wedle Wytycznych Grupy Roboczej art. 29 przy określaniu tego pojęcia należy uwzględnić następujące kryteria:  

   
- liczbę osób, których dane dotyczą – konkretną liczbę albo procent określonej grupy społeczeństwa;    
- zakres przetwarzanych danych osobowych;    
- okres, przez jaki dane są przetwarzane;    
- zakres geograficzny przetwarzania danych osobowych; 

W pojęciu przetwarzania danych na „dużą skalę” mieści się np. przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności, śledzenie za pośrednictwem kart miejskich, przetwarzanie danych geolokalizacyjnych, przetwarzanie danych przez banki i ubezpieczycieli, przetwarzanie danych do celów reklamy behawioralnej. Pojęciem „dużej skali” nie będzie natomiast objęte np. przetwarzanie danych pacjentów dokonywane przez pojedynczego lekarza, przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego. 

W zakresie interpretacji pojęcia „systematyczne i regularne monitorowanie osób” należy posiłkować się motywem 24 RODO, zgodnie z którym, „aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw”. Warto zaznaczyć, że motyw 24 poświęcony jest eksterytorialnemu zastosowaniu RODO. Dodatkowo należy wskazać, iż istnieje różnica pomiędzy pojęciem „monitorowanie ich zachowania” (artykuł 3(2)(b)) a pojęciem „regularne i systematyczne monitorowanie” z art. 37(1)(b), co może skutkować odmiennym rozumieniem tych dwóch zwrotów.

Wg. Grupy Roboczej art. 29 przez „systematyczne i regularne monitorowanie osób” należy rozumieć wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych.

Nie należy jednak ograniczać tego pojęcia jedynie do środowiska on-line, a śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów takiego monitorowania. 

Grupa Robocza Art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć:

- stałe albo występujące w określonych odstępach czasu przez ustalony okres;    
- cykliczne albo powtarzające się w określonym terminie;    
- odbywające się stale lub okresowo. 

Grupa Robocza Art. 29 definiuje „systematyczne” jako jedno lub więcej z następujących pojęć:     

- występujące zgodnie z określonym systemem;    
- zaaranżowane, zorganizowane lub metodyczne;    
- odbywające się w ramach generalnego planu zbierania danych;    
- przeprowadzone w ramach określonej strategii. 

Przykładami regularnego i systematycznego monitorowania osób jest m.in.:

- obsługa sieci telekomunikacyjnej,
- świadczenie usług telekomunikacyjnych,
- profilowanie i ocenianie dla celów oceny ryzyka kredytowego,
- ustanawianie składek ubezpieczeniowych,
- wykrywanie prania pieniędzy,
- śledzenie lokalizacji w aplikacjach telefonicznych,
- reklama behawioralna,
- monitoring wizyjny,
- urządzenia skomunikowane np. inteligentne liczniki,
- inteligentne samochody,
- automatyka domowa typu „smartdom”.

3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.

Przepis ten również posługuje się również kryterium „główna działalność” i „na dużą skalę”, w wykładni których pomocne mogą być wskazówki przytoczone w poprzednim punkcie, w tym w Wytycznych Grupy Roboczej art. 29 dotyczących inspektora ochrony danych. 

Szczególne kategorie danych określa art. 9 RODO. Należą do nich dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, służące do jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących jej zdrowia, seksualności lub orientacji seksualnej. 

Zgodnie z art. 10 RODO przetwarzanie danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, dozwolone jest tylko w przypadku spełnienia wskazanych w tym artykule enumeratywnie wymienionych przesłanek.
Powołany art. 10 RODO oraz inne przepisy ogólnego rozporządzenia o ochronie danych nie definiują tej kategorii danych.

Jednakże biorąc pod uwagę doświadczenia, powstałe na gruncie ustawy o ochronie danych osobowych, do tej kategorii danych należeć będą m.in. informacje dotyczące skazań, orzeczenia o ukaraniu lub inne orzeczenia wydane w postępowaniu sądowym i administracyjnym (w tym orzeczenia o karach dyscyplinarnych), dane zawarte w Krajowym Rejestrze Karnym, dane dotyczące mandatów lub innych zastosowanych środkach karnych lub zabezpieczających. Grupa Robocza art. 29 w wytycznych wskazuje, że mimo, iż przepis posługuje się określeniem „danych osobowych dotyczących wyroków skazujących i naruszeń prawa”, nie ma powodu, dla którego obie przesłanki powinny być stosowane jednocześnie. Zastosowanie powinien mieć łącznik „lub”.

Inni nie muszą, ale się im zleca wyznaczenie IOD

W pozostałych przypadkach wyznaczenie inspektora jest fakultatywne, chyba że zmieni to jeszcze specustawa, nad którą parlament będzie pracować w lipcu 2018 roku.

Gdy z przepisów nie wynika obowiązek wyznaczenia DPO, Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.

Ponadto Grupa Robocza art. 29 rekomenduje wyznaczenie DPO nawet w odniesieniu do podmiotów do tego niezobowiązanych. Inspektorzy ochrony danych mogą bowiem znacznie ułatwić przestrzeganie nowych przepisów oraz odegrać istotną rolę w pośredniczeniu pomiędzy zainteresowanymi stronami (np. organem ochrony danych osobowych, podmiotami danych oraz poszczególnymi jednostkami w ramach jednej organizacji).

W Wytycznych dotyczących inspektora ochrony danych, Grupa uznaje za dobrą praktykę powoływanie DPO przez prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną. W takim przypadku działalność inspektora ochrony danych powinna obejmować wszelkie operacje przetwarzania prowadzone przez jednostkę, w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym. 

Obowiązek wyznaczenia DPO dotyczy również podmiotów przetwarzających. Mogą zatem wystąpić sytuacje, kiedy administrator nie będzie zobowiązany do wyznaczenia DPO, natomiast obowiązek taki będzie ciążył na podmiocie przetwarzającym. Jako przykład Grupa Robocza art. 29 podaje sytuację, w której mała, rodzinna firma dystrybuująca artykuły gospodarstwa domowego na terenie jednego miasta korzysta z usług podmiotu przetwarzającego, którego podstawowa działalność polega na świadczeniu usług analityki internetowej i pomocy w ukierunkowanej reklamie i marketingu. Działalność firmy rodzinnej, biorąc pod uwagę niewielką liczbę klientów i stosunkowo ograniczone działania, nie spowoduje obowiązku wyznaczania inspektora ochrony danych. Jednakże działania podmiotu przetwarzającego, posiadającego wielu klientów takich jak to małe przedsiębiorstwo, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”.

W związku z tym podmiot przetwarzający, w przeciwieństwie do lokalnego przedsiębiorstwa, zobowiązany będzie do wyznaczenia inspektora ochrony danych.  Powyższe zasady nie uniemożliwiają podmiotom niezobowiązanym do wyznaczenia DPO skorzystania z innego rozwiązania niż wyznaczenie inspektora ochrony danych, np. wyznaczenia pracownika albo zatrudnienie zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W takim przypadku wedle zaleceń Grupy Roboczej art. 29 ważne jest, aby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd. W związku z tym należy poinformować pracowników organizacji, organ nadzorczy, osoby, których dane dotyczą, i ogół społeczeństwa, iż osoba zatrudniona nie jest DPO w świetle przepisów RODO.

Pobierz ebook "Ranking Agencji Marketingowych 2025 roku i ebook z poradami o promocji w sieci"