Rozporządzenie unijne i powołanie inspektora ochrony danych osobowych (DPO)

O ile oczywiste jest, że rozporządzenie nie przewiduje obowiązku powołania inspektora danych osobowych z zasady dla wszystkich administratorów danych osobowych, to jednak w świetle ostatnich wytycznych Grupy Roboczej art. 29 każda organizacja powinna przeprowadzić analizę, której celem będzie ustalenie czy mimo braku powszechnego obowiązku nie zachodzą w danej organizacji przesłanki oraz okoliczności przemawiające za powołaniem DPO (Data Protection Officer).

Okazuje się, że nie będzie to prosty wybór mieć albo nie mieć DPO. W celu podjęcia odpowiedniej decyzji administrator danych powinien przeprowadzić analizę oraz udokumentować ją.

Analiza taka miałby być pomocna w celu określenia, czy inspektor ochrony danych osobowych (DPO ) powinien być mianowany w danej organizacji, czy wszystkie istotne dla takiej oceny czynniki zostały przez organizację uwzględnione.

Odpowiednio przeprowadzona analiza powinna wziąć pod uwagę czynniki istotne dla oceny obowiązku lub jego braku w kwestii powołania DPO. Z pewnością w pierwszej kolejności administrator danych powinien rozważyć czy w świetle samych przepisów ma wybór a może obowiązek powołania DPO, gdyż nie jest to takie oczywiste.

Przepis mówi, iż administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Przywołane wyżej wytyczne Grupy Roboczej odnoszą się do poszczególnych wymienionych wyżej przesłanek prawnych przemawiających za powołaniem DPO (ABI). Okazuje się, że rozumienie tych przepisów i ich właściwa interpretacja jest kluczowa dla przeprowadzenia wspomnianej analizy i wywiedzenia z niej odpowiednich konkluzji w zakresie obowiązku  powłania lub nie DPO w twojej firmie.

W kolejnych wpisach będę kontynuować temat, bowiem jest on rozległy i wielowątkowy a jego zakres wykracza poza ramy jednego artykułu na blogu.