Inspektor ochrony danych osobowych (DPO) obowiązek powołania część 1

Inspektor Ochrony Danych Osobowych (DPO) zgodnie z nowym rozporządzeniem unijnym ma zastąpić dotychczas funkcjonującego ABI. W treści rozporządzenia wskazano jednak, że jego powołanie nie zawsze będzie konieczne. Ocena czy należy go powołać należeć będzie do administratora danych lub podmiotu przetwarzającego . W wytycznych Grupy Roboczej art. 29 wskazuje się, że podmioty te powinny stworzyć dokument potwierdzający, że przeprowadzono analizę na podstawie, której podjęto decyzję czy zobowiązani są powołać inspektora. Nie wyjaśniono jednak jak często taką analizę trzeba ponawiać, jeżeli staniemy na stanowisku, że nie musimy powoływać inspektora.  W rozporządzeniu wskazano wprost, że administrator danych lub podmiot przetwarzający zobowiązany jest wyznaczyć inspektora gdy:

  1. Przetwarzania dokonują organ lub podmiot publiczny z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości
  2. Głowna działalność administratora i podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu an swój cel i zakres wymagają regularnego i systematycznego monitorowania osób , których dane dotyczą na dużą skalę
  3. Główna działalność administratora i podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust.1 oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa

Omawiając kolejno przesłanki wyznaczenia inspektora zacznijmy od pierwszej dotyczyć będzie ona wszystkich organów i jednostek publicznych, w tym jednostek samorządu terytorialnego i podległych im jednostek, sadów w zakresie nie związanym ze sprawowaniem wymiaru sprawiedliwości. Główną działalność nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych  nierozerwalnie związanych z działalnością główną. Przykładem najlepiej to ilustrującym wskazanym w treści wytycznych jest szpital, którego główną działalnością jest opieka medyczna, natomiast świadczenie tych usług nie byłoby możliwe bez przetwarzania danych osobowych historii pacjenta. W związku z tym ta działalność szpitala należy również zaklasyfikować jako główną. I szpitale muszą powołać inspektora. Kolejny przykład takiego przetwarzania stanowi przetwarzanie danych przez spółki świadczące usługi ochrony mienia przestrzeni publicznej.  Duża skala przetwarzania  czyli trzecia przesłanka. Rozporządzenie nie zawiera definicji dużej skali przetwarzania , tylko w motywie 91 tego aktu prawnego możemy znaleźć pewne wskazówki.  Praktyka z pewnością wykształci pewne progi, od których będziemy ustalać dużą skalę. Przy określaniu dużej skali należy wziąć pod uwagę według wytycznych  Grupy Roboczej art. 29 liczby osób, których dane dotyczą, zakres przetwarzanych danych, okres przez jakie są przetwarzane, zakres geograficzny przetwarzania. Jako przykład przetwarzania na dużą skalę wytyczne wskazały przetwarzanie danych pacjentów szpitala., przetwarzanie danych przez banki. Nie będzie natomiast zaliczać się przetwarzanie danych naruszeń prawa przez adwokatów i radców prawnych. Regularne i systematyczne monitorowanie będzie odnosić się głównie do śledzenia w sieci. Pod pojęciem regularnie rozumiemy stałe w pewnych odstępach czasu lub cykliczne powtarzające w określonym terminie. Natomiast pod pojęciem systematycznie zaaranżowane, zaplanowane, metodyczne, odbywające się w ramach generalnego planu. Przykładem takiego profilowania jest obsługa sieci telekomunikacyjnej.

Marzec 14th, 2017 by

Newsletter

FreshMail.pl