Sprawdź, w jakiej sytuacji trzeba powołać Inspektora Ochrony danych? Jakie mogą być potencjalne miejsca pracy IOD? Obowiązek powołania Inspektora Ochrony Danych występuje w trzech sytuacjach, o których przeczytasz w tym artykule.
Obowiązek powołania IOD.
Warto w tym miejscu zaznaczyć, że obowiązek powołania IOD nie dotyczy tylko administratora danych, ale także podmiotu przetwarzającego, jeśli spełnia poniższe warunki. Obowiązek powołania Inspektora Ochrony Danych występuje w trzech sytuacjach. Wiąże się to przede wszystkim z główną działalnością organizacji, a niekiedy także skalą działania. Konkretne przypadki, na podstawie przepisów RODO, oraz co za tym idzie potencjalne miejsca pracy Inspektora Ochrony Danych przedstawiam w dalszej części tego wpisu.
Po pierwsze. Organy i podmioty publiczne.
Zgodnie z art. 37 ust. 1 podpunkt a) RODO powołanie Inspektora Ochrony Danych jest wymagane we wszystkich podmiotach publicznych i ich organach. Od tej zasady jest wyjątek i dotyczy on sądów w zakresie sprawowania wymiaru sprawiedliwości.
W przypadku wątpliwości co do tego, które organy i podmioty publiczne należy wziąć pod uwagę warto zapoznać się z treścią Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z nią, do wyznaczenia Inspektora Ochrony Danych zobowiązane są organy oraz podmioty publiczne wskazane w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych oraz instytuty badawcze w rozumieniu ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych, tj.:
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa,
- jednostki samorządu terytorialnego oraz ich związki,
- samodzielne publiczne zakłady opieki zdrowotnej, publiczne szpitale,
- publiczne przedszkola, szkoły i uczelnie wyższe,
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.
W przypadku organów i podmiotów publicznych sytuacja wydaje się jasna, chociaż i tu czasami można spotkać wątpliwości na temat tego, czy np. Urząd Gminy jest administratorem danych, czy poszczególne jego jednostki, jak Gminny Ośrodek Kultury, Gminny Ośrodek Pomocy Społecznej, etc. Na wspomnianym przykładzie każda z jednostek Urzędu Gminy będzie samodzielnym administratorem danych, a odpowiedzialność za przetwarzanie danych ponoszą reprezentujący je kierownicy jednostek organizacyjnych.
Po drugie. Dane wrażliwe przetwarzane na dużą skalę.
Powołanie Inspektora Ochrony Danych jest niezbędne także w tych organizacjach, których główna działalność polega na przetwarzaniu szczególnych kategorii danych osobowych na dużą skalę.
Wśród podmiotów potencjalnie zobowiązanych do wyznaczenia Inspektora Ochrony Danych można więc wymienić takie podmioty prywatne, jak:
- przychodnie zdrowia, gabinety lekarskie i szpitale,
- laboratoria medyczne, punkty pobrań,
- gabinety i ośrodki fizjoterapii, rehabilitacji,
- sklepy medyczne,
- salony fryzjerskie, kosmetyczne i SPA, w których wykonywane są usługi związane z potrzebą przetwarzania danych na temat zdrowia.
Istotne są tu jednak trzy czynniki, które muszą wystąpić łącznie, aby wyznaczenie IOD było obowiązkowe, tj.
- dane szczególnej kategorii – dotyczy tylko tych organizacji, które przetwarzają tzw. dane wrażliwe. Są to informacje dotyczące, np. danych o stanie zdrowia, danych genetycznych i biometrycznych, seksualności, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przynależności do związków zawodowych, przekonania religijne lub światopoglądowe dane osoby. Katalog danych, które są uznawane za dane szczególnej kategorii został wymieniony w art. 9 ust. 1 RODO. Warto mieć to na uwadze, bo jest to katalog zamknięty i np. takie dane, jak PESEL, czy numer dokumentu tożsamości mylnie często jest interpretowany jako dane wrażliwe. Są to co prawda dane, które podlegają ochronie, ale są to tylko tzw. dane zwykłe.
- główna działalność – organizacja musi przetwarzać dane wrażliwe w celu prowadzenia swojej wiodącej działalności lub osiągnięcia celów statutowych. Pod tym pojęciem mieści się, np. przetwarzanie danych o stanie zdrowia przez prywatną spółkę medyczną. Dane te są niezbędne do prowadzenia tego rodzaju działalności. Natomiast, jeśli pracodawca przetwarza, np. dane o niepełnosprawności pracownika w celu skorzystania przez niego z uprawnień przewidzianych w prawie pracy, to takie przetwarzanie nie będzie traktowane jako główna działalność, tylko poboczna.
- duża skala przetwarzania – dane muszą być przetwarzane na tzw. dużą skalę. To pojęcie nie jest niestety dobrze sprecyzowane, dlatego każda organizacja, np. przychodnia lub gabinet kosmetyczny musi samodzielnie to ustalić. To, co bierze się wtedy pod uwagę to, np. zakres, ilość danych, czas przechowywania danych, zasięg geograficzny, procent określonej grupy społeczeństwa, której dane organizacja przetwarza.
Kiedy trzeba powołać IOD w ochronie zdrowia?
Istnieją pewne wytyczne, które pozwalają mi, w dużym uproszczeniu, podać kilka przykładów małej i dużej skali przetwarzania danych wrażliwych.
Przykład małej skali: gabinet lekarski (jednoosobowy), mały gabinet kosmetyczny (kilku pracowników, jedna lokalizacja), pojedyncza apteka lub punkt apteczny, lokalny i niewielki sklep medyczny, gabinet fizjoterapii, gabinet psychologiczny.
Przykład dużej skali: szpital, przychodnia lekarska o kilku specjalizacjach, przychodnia lekarska z podstawową opieką zdrowotną, działająca na terenie danej gminy, powiatu, sieć aptek lub laboratoriów medycznych, kilka gabinetów lekarskich, np. w kilku miastach, kilka punktów fizjoterapii, np. w kilku częściach dużego miasta.
To są oczywiście tylko przykłady, które każda organizacja powinna przeanalizować. Dodatkowo taka analiza powinna być przeprowadzana cyklicznie, czyli np. mały pojedynczy gabinet lekarski, który dziś nie wymaga powołania Inspektora Ochrony Danych za jakiś czas może przekształcić się w wyspecjalizowaną przychodnię lekarską. Jeśli temat danych medycznych interesuje Cię w szerszym kontekście, zajrzyj na moją stronę dedykowaną tej działalności – www.rodowgabinecie.pl. Tam znajdziesz więcej przykładów i wiedzy związanej z RODO w gabinetach lekarskich i okołomedycznych.
Po trzecie. Monitorowanie na dużą skalę.
Trzecia grupa podmiotów zobowiązanych do powołania Inspektora Ochrony Danych to organizacje, których główna działalność polega na regularnym i systematycznym monitorowaniu osób, których dane dotyczą, na dużą skalę.
Pojęcie głównej działalności oraz dużej skali zostało już wyjaśnione wcześniej. Pozostaje więc ustalenie, co oznacza regularne i systematyczne monitorowanie. Warto w tym miejscu od razu wyjaśnić, że monitorowanie nie tylko oznacza nadzorowanie za pomocą kamer, ale także wszelkie monitorowanie osób, systemów, zachowań lub preferencji zakupowych. Przykładami takiej działalności mogą być, np.
- straż gminna, policja,
- agencja ochrony osób i mienia,
- usługi śledzenia lokalizacji, np. aut służbowych,
- banki, ubezpieczyciele,
- firmy prowadzące programy lojalnościowe,
- agencje marketingowe monitorujące zachowania użytkowników w Internecie,
- ewentualnie inne organizacje, których celem jest monitorowanie osób, zachowań, preferencji, zużycia energii (inteligentne liczniki), etc.
Podobnie, jak w poprzednim przypadku ważne jest to, czy to jest główna działalność tej organizacji i czy odbywa się to na dużą skalę. Pracodawca, który stosuje monitoring budynku w celu zapewnienia bezpieczeństwa pracowników i innych osób wchodzących na jego teren, czy dla ochrony mienia, nie ma obowiązku wyznaczenia Inspektora Ochrony Danych. Taki obowiązek jednak wystąpi wtedy, gdy jest to jego wiodąca działalność i np. prowadzi agencję ochrony osób i mienia.
Inne sytuacje kiedy powołanie IOD może być konieczne.
Zgodnie z art. 37 ust. 4 RODO obowiązek powołania Inspektora Ochrony Danych może dodatkowo wprowadzić prawo Unii lub prawo państwa członkowskiego. Zatem, polski ustawodawca będzie mógł w każdej chwili rozszerzyć obowiązek wyznaczenia IOD także na inne podmioty. Obecnie nie ma jednak takiego projektu ustawy i raczej szybko nie ulegnie to zmianie.
Dobrowolne wyznaczenie IOD.
Administrator danych i podmiot przetwarzający powinien rozważyć czy wykonywana przez niego działalność będzie podlegała obowiązkowemu wyznaczeniu Inspektora Ochrony Danych. Teraz znasz już wszystkie przypadki kiedy trzeba powołać Inspektora Ochrony Danych. Nawet jeśli nie masz wprost takiego obowiązku to zawsze istnieje możliwość dobrowolnego powołania IOD. Na to rozwiązanie najczęściej decydują się średnie i duże przedsiębiorstwa. Są to te firmy, które prowadzą dużo różnych operacji związanych z przetwarzaniem danych, zatrudniają wielu pracowników lub współprace, których się podejmują wymagają od nich potwierdzenia wdrożenia RODO lub norm ISO (np. publiczne przetargi). Z moich doświadczeń wynika, że szczególnie ten ostatni aspekt to największy motywator do dobrowolnego wyznaczenia Inspektora Ochrony Danych.