Kiedy firma musi wyznaczyć IOD? Kryteria z art. 37 RODO

Kiedy firma musi wyznaczyć IOD? Kryteria z art. 37 RODO

 

Inspektor Ochrony Danych – w skrócie IOD – nie jest funkcją którą musi mieć każda firma. RODO wprowadza obowiązek wyznaczenia IOD tylko w określonych sytuacjach.

Problem polega na tym że "określone sytuacje" zostały sformułowane w art. 37 ust. 1 RODO w sposób który daje pole do interpretacji. I właśnie ta interpretacja decyduje czy musisz mieć IOD czy nie.

Spójrzmy konkretnie na trzy przesłanki które wymienia rozporządzenie.

Przesłanka pierwsza: organ lub podmiot publiczny

To jest najprostszy przypadek.

Każdy organ i każdy podmiot publiczny ma obowiązek wyznaczenia IOD.

W praktyce oznacza to że IOD jest obowiązkowy w urzędach gmin, urzędach miast, starostwach, urzędach wojewódzkich, ministerstwach. W szkołach publicznych, przedszkolach publicznych, uczelniach publicznych. W szpitalach i przychodniach prowadzonych przez podmioty publiczne. W placówkach kultury – muzeach, bibliotekach, teatrach finansowanych ze środków publicznych. W ZUS, KRUS, urzędach skarbowych.

Bez względu na wielkość. Bez względu na to ile danych przetwarzają. Sam status podmiotu publicznego jest wystarczający.

Przesłanka druga: regularne i systematyczne monitorowanie osób na dużą skalę

Tu zaczyna się obszar interpretacji.

Drugi warunek z art. 37 RODO mówi że IOD jest obowiązkowy gdy główna działalność administratora polega na operacjach przetwarzania które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób których dane dotyczą, na dużą skalę.

Każde z tych słów jest istotne.

"Główna działalność" – nie chodzi o pomocnicze procesy ale o to co stanowi rdzeń biznesu. Bank którego główna działalność to obsługa klientów i przetwarzanie ich danych finansowych – tak. Fabryka produkująca opakowania która ma dział księgowości obsługujący kontrahentów – nie, bo monitorowanie nie jest jej główną działalnością.

"Regularne i systematyczne monitorowanie" – nie jednorazowa weryfikacja ale ciągły, powtarzalny proces obserwacji zachowań. Wytyczne Grupy Roboczej Art. 29 wskazują że obejmuje to wszelkie formy śledzenia i profilowania w internecie i offline.

"Na dużą skalę" – tu nie ma jednej definicji liczbowej. EROD wskazuje że ocena uwzględnia liczbę osób, ilość danych, czas trwania przetwarzania i zasięg geograficzny. W Polsce niektórzy mówią że duża skala to.... około stu tysięcy rekordów dano osobowych.

Typowe przykłady gdzie ten warunek jest spełniony:

Banki i instytucje finansowe – profilowanie scoringowe klientów. Firmy ubezpieczeniowe – ocena ryzyka klienta. Operatorzy telekomunikacyjni – monitoring zachowań abonentów. Sieci handlowe z programami lojalnościowymi przetwarzającymi dane milionów klientów. Firmy reklamowe stosujące tracking i profilowanie online. Platformy społecznościowe i serwisy streamingowe.

Typowe przykłady gdzie ten warunek nie jest spełniony:

Mała firma usługowa obsługująca kilkuset klientów. Sklep internetowy z bazą kilku tysięcy klientów bez intensywnego profilowania. Restauracja, salon fryzjerski, kancelaria prawna z ograniczonym kręgiem klientów.

Granica między "tak" a "nie" w średnich firmach bywa nieostra. Tu warto skonsultować się z prawnikiem albo IOD który oceni konkretną sytuację.

Przesłanka trzecia: dane szczególnej kategorii lub o wyrokach skazujących na dużą skalę

Trzeci warunek dotyczy charakteru przetwarzanych danych.

IOD jest obowiązkowy gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych z art. 9 RODO lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych z art. 10 RODO.

Dane szczególnej kategorii to dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne służące jednoznacznej identyfikacji, dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Typowe przykłady gdzie ten warunek jest spełniony:

Szpitale, przychodnie, gabinety lekarskie – dane zdrowotne pacjentów. Laboratoria diagnostyczne. Firmy farmaceutyczne. Apteki – choć tu zależy od skali. Firmy ubezpieczeń zdrowotnych. Agencje pracy specjalizujące się w niepełnosprawności. Organizacje religijne i polityczne. Związki zawodowe. Klubowe siłownie używające biometrii do dostępu na dużą skalę.

Tu też kluczowe jest "na dużą skalę." Mała przychodnia stomatologiczna z jednym dentystą i kilkuset pacjentami – prawdopodobnie nie. Sieć przychodni obsługująca dziesiątki tysięcy pacjentów rocznie – tak.

Czego art. 37 wprost nie wymaga ale warto pamiętać

Jeśli nie spełniasz żadnej z trzech przesłanek z art. 37 ust. 1 RODO – nie masz prawnego obowiązku wyznaczenia IOD. Ale to nie znaczy że nie powinieneś go mieć.

W wielu średnich firmach dobrowolne wyznaczenie IOD okazuje się rozsądne z perspektywy zarządzania ryzykiem. Skomplikowane procesy przetwarzania, częste pytania pracowników, kontakt z UODO – wszystko to łatwiej obsłużyć gdy w organizacji jest osoba odpowiedzialna za te zadania.

Co więcej – jeśli zdecydujesz się dobrowolnie wyznaczyć IOD – RODO traktuje go tak samo jak IOD obowiązkowego. Ma takie same uprawnienia, ten sam status niezależnościowy i podlega tym samym zasadom zgłoszenia do UODO.

To znaczy że dobrowolne wyznaczenie IOD nie oznacza "lżejszej wersji" tej funkcji. Albo masz IOD ze wszystkimi konsekwencjami – albo nie masz.

Co zrobić jeśli nie masz pewności

Trzy kroki w kolejności.

Po pierwsze – odpowiedz uczciwie na pytanie czy Twoja główna działalność polega na regularnym monitorowaniu osób albo na przetwarzaniu danych szczególnej kategorii. Jeśli tak – sprawdź czy jest to "na dużą skalę." Jeśli nadal tak – IOD jest obowiązkowy.

Po drugie – sprawdź czy podpadasz pod definicję podmiotu publicznego. W przypadkach granicznych – fundacje korzystające z dotacji publicznych, spółki Skarbu Państwa, spółki komunalne – odpowiedź wymaga konkretnej analizy.

Po trzecie – jeśli odpowiedź nadal jest niejednoznaczna – udokumentuj swoją analizę. Notatka pokazująca że rozważyłeś przesłanki z art. 37 i doszedłeś do wniosku że ich nie spełniasz – jest dowodem należytej staranności gdyby UODO kiedyś o to zapytał.

Sam fakt nie wyznaczenia IOD bez dokumentacji uzasadniającej tę decyzję jest sygnałem braku świadomości obowiązków administratora. Z dokumentacją – jest świadomą decyzją opartą na analizie przepisów.

Co dalej jeśli już wiesz że IOD jest obowiązkowy

To temat na osobny artykuł – ale w skrócie kilka kluczowych kroków.

Wybór osoby która spełnia wymogi z art. 37 ust. 5 RODO – fachowa wiedza, doświadczenie, umiejętność wykonywania zadań z art. 39. Decyzja czy IOD ma być wewnętrzny czy outsourcowany. Zapewnienie mu niezależności i odpowiednich zasobów. Zgłoszenie wyznaczenia IOD do UODO przez dedykowany formularz – masz na to obowiązek niezwłocznie po wyznaczeniu.

Każdy z tych kroków ma swoje konkretne wymogi i pułapki o których pisałem w innych artykułach.

Czy mała firma z 10 pracownikami musi mieć IOD?

W zdecydowanej większości przypadków – nie. Liczba pracowników nie jest kryterium z art. 37 RODO. Kryteria dotyczą charakteru przetwarzania a nie wielkości firmy. Mała firma która nie monitoruje regularnie ludzi i nie przetwarza danych szczególnej kategorii na dużą skalę – nie ma obowiązku wyznaczenia IOD. 

Czy IOD musi być pracownikiem firmy czy może być z zewnątrz?

Może być jedno i drugie. RODO nie wymaga zatrudnienia IOD na umowę o pracę. Może być wewnętrznym pracownikiem, może być osobą z zewnątrz świadczącą usługi na podstawie umowy. Wybór modelu zależy od wielkości firmy, charakteru działalności i zasobów. Mniejsze firmy częściej decydują się na outsourcing IOD. Duże korporacje mają zazwyczaj wewnętrzny zespół. Niezależnie od formy zatrudnienia – IOD musi spełniać wymogi z art. 37 ust. 5 i działać niezależnie zgodnie z art. 38.

Czy IOD może łączyć tę funkcję z innym stanowiskiem w firmie?

Teoretycznie tak ale z poważnymi ograniczeniami. Art. 38 ust. 6 RODO mówi że IOD może wykonywać inne zadania pod warunkiem że nie powodują one konfliktu interesów. Praktyka UODO konsekwentnie pokazuje że konflikt interesów występuje gdy IOD pełni jednocześnie funkcję która polega na decydowaniu o celach i sposobach przetwarzania danych. Prezes zarządu, dyrektor IT, szef HR, kierownik marketingu – wszystkie te stanowiska są w konflikcie z rolą IOD. Bezpieczne łączenia są rzadkie i wymagają indywidualnej analizy.

Jak zgłosić wyznaczenie IOD do UODO?

Przez dedykowany formularz online na stronie UODO. Zgłoszenie powinno nastąpić niezwłocznie po wyznaczeniu IOD - w ciągu 14 dni. Formularz wymaga podania danych administratora, danych IOD (imię, nazwisko, dane kontaktowe służbowe). Po zmianie IOD lub zmianie jego danych kontaktowych również masz obowiązek zaktualizować zgłoszenie. Brak zgłoszenia IOD do UODO mimo obowiązku wyznaczenia jest osobnym naruszeniem RODO.

Czy IOD musi mieć wykształcenie prawnicze?

Nie. RODO nie wymaga konkretnego wykształcenia. Art. 37 ust. 5 mówi o "fachowej wiedzy na temat prawa i praktyk w dziedzinie ochrony danych" oraz umiejętności wypełniania zadań z art. 39. W praktyce dobry IOD łączy wiedzę prawną z rozumieniem procesów IT, organizacji pracy i komunikacji z biznesem. Wykształcenie prawnicze pomaga ale nie jest wymagane. Wielu skutecznych IOD ma wykształcenie z zakresu IT, zarządzania albo bezpieczeństwa informacji uzupełnione o specjalistyczne szkolenia z RODO.

Co dzieje się jeśli nie wyznaczę IOD mimo obowiązku?

Brak wyznaczenia IOD gdy istnieje taki obowiązek jest naruszeniem art. 37 RODO. UODO może nałożyć karę administracyjną – w skrajnych przypadkach do 10 mln euro lub 2% rocznego obrotu. W praktyce kary za sam brak IOD są nakładane rzadko – częściej organ traktuje to jako okoliczność obciążającą przy ocenie innych naruszeń. Firma która ma incydent danych i nie ma IOD mimo obowiązku – jest w znacznie gorszej pozycji negocjacyjnej z organem niż firma z dopełnionymi obowiązkami.

Czy fundacja albo stowarzyszenie musi mieć IOD?

Zależy od działalności. Sam status fundacji lub stowarzyszenia nie czyni z nich podmiotów publicznych w rozumieniu art. 37 RODO. Ale jeśli fundacja przetwarza dane szczególnej kategorii na dużą skalę – np. fundacja działająca w obszarze ochrony zdrowia, wspierająca osoby z konkretnymi chorobami, prowadząca działalność medyczną – obowiązek może powstać. Niezależnie od formalnego obowiązku – fundacje obsługujące dane wrażliwe powinny rozważyć wyznaczenie IOD nawet dobrowolnie.

Czy mogę odwołać IOD jeśli nie jestem zadowolony z jego pracy?

Tak ale z ograniczeniami. Art. 38 ust. 3 RODO chroni IOD przed odwołaniem za wykonywanie swoich zadań. Nie możesz odwołać IOD dlatego że "mówi prawdę o problemach RODO w firmie" albo "nie pozwala na wątpliwe praktyki." Możesz odwołać IOD który nie wywiązuje się z obowiązków, popełnia rażące błędy, traci kwalifikacje. Decyzja o odwołaniu powinna być udokumentowana i poparta konkretnymi przesłankami. Każde odwołanie IOD wymaga aktualizacji zgłoszenia w UODO i wskazania nowej osoby.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.