czwartek, 5 kwietnia 2018

Kiedy potrzebny, a kiedy obowiązkowy jest inspektor ochrony danych? – zmiany w danych osobowych – cz. 10


Rozporządzenie Parlamentu Europejskiego i Rady nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli z tzw. RODO, wprowadza nowy podmiot, który zastąpi dotychczasowego administratora bezpieczeństwa informacji, a mianowicie inspektora ochrony danych (dalej też „inspektor”).

Niektóre podmioty będą miały obowiązek powołania inspektora. Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy zachodzi jeden z poniższych przypadków:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (tzw. dane wrażliwe lub inaczej – sensytywne), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Największe kontrowersje może wzbudzać pkt. b), który posługuje się bardzo ocennym pojęciem „głównej działalności”, a dodatkowo pojęciem „wymagania regularnego systematycznego monitorowania osób”. W słowniku pojęć dla RODO znajdującym się w art. 4 nie odnajdziemy żadnej podpowiedzi, jak te pojęcia powinny być interpretowane. Mając jednak na względzie bezpieczeństwo administratora w kwestiach wątpliwych, doradzałabym powołanie takiego inspektora. Dopiero praktyka narosła wokół obowiązywania RODO wykaże, jak organy będą interpretować te pojęcia.

Pkt c) wzbudza też wątpliwości. Na zdrowy rozum np. placówka medyczna, która jest niewątpliwie administratorem przetwarzającym dane sensytywne, jakimi są dane dotyczące stanu zdrowia, nie ma takiego obowiązku, gdyż jej główna działalność nie polega na przetwarzaniu danych osobowych lecz na świadczeniu usług medycznych. Anglojęzyczna wersja RODO również wskazuje, że chodzi o te podmioty, których trzon działalności stanowi przetwarzanie takich danych osobowych.

Wizja jednak sankcji zawartych w art. 83 ust. 4 lit. a) RODO, a mianowicie administracyjnej kary pieniężnej w kwocie do 10.000.000 Euro, a w przypadku przedsiębiorstwa w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (przy czym zastosowanie ma kwota wyższa) skutecznie z pewnością wpłynie (przynajmniej w początkowym okresie obowiązywania RODO), na to, iż wiele podmiotów wyznaczy takiego administratora, nawet gdy obowiązek jego wyznaczenia będzie wątpliwy lub kontrowersyjny.


Inne posty na temat RODO do przeczytania tu (klik).

Aleksandra Dalecka
adwokat

Brak komentarzy:

Prześlij komentarz

Prosimy o pozostawienie komentarza w temacie posta. Jesteśmy wdzięczni za Państwa opinie.

W tym miejscu nie udzielamy indywidualnych porad prawnych. Jeśli jesteście Państwo zainteresowani pomocą prawną, prosimy o mailowy (blog@zdanowiczlegal.pl) lub telefoniczny (+22 525 84 44) kontakt z Kancelarią. Koszt pomocy prawnej uzależniony jest od stopnia skomplikowania, charakteru sprawy i nakładu pracy prawnika. Udzielamy także e-porady.

Posty są aktualne w dniu ich publikacji. Nie odpowiadamy za późniejsze zmiany prawa.