Artykuł 37 RODO mówi o tym, kiedy należy powołać inspektora ochrony danych i wskazuje na trzy grupy przesłanek, których spełnienie powoduje konieczność powołania IOD, a są to:
a. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.
art. 37. ust. 1 RODO
Podmioty publiczne
Czy warunki są jednoznaczne i precyzyjne? W pierwszym przypadku z pewnością tak. Tu powołania IOD dokonuje każdy organ lub podmiot publiczny przetwarzający dane osobowe. Wyjątek stanową sądy powszechne, ale w zakresie sprawowania wymiaru sprawiedliwości.
Główna działalność, przetwarzanie na dużą skalę oraz regularne i systematyczne monitorowanie – niezbędne powołanie IOD
W drugim przypadku regulator wskazuje na konieczość powołania IOD gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Oczywiście ta definicja jest bardzo szeroka i pozostawia szeroki margines interpretacji.
Z pomocą przychodzi Grupa Robocza art. 29 oraz jej Wytyczne dotyczące inspektorów ochrony danych (‘DPO’).
Główna działalność
W przypadku „głównej działalności administratora” Grupa Robocza art. 29 przywołuje motyw 97 rozporządzenia, który wskazuje, że przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Tak więc „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia cel w administratora albo podmiotu przetwarzającego dane. Innymi słowy przetwarzanie danych musi niejako wspierać główne cele jakie stawia sobie administrator.
Przetwarzanie na dużą skalę
Jakkolwiek trudno jednoznacznie określić warunki „dużej skali” przetwarzania, to Grupa Robocza zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- zakres przetwarzanych danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych;
Aby zilustrować „przetwarzanie na dużą skalę” wymagające powołania IOD Grupa Robocza podaje następujące przykłady przetwarzania danych:
- pacjentów przez szpital w ramach prowadzonej działalności;
- dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’;
- geo-lokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
- klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
- do celów reklamy behawioralnej przez wyszukiwarki;
- dotyczących treści, ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych.
Monitorowanie regularne i systematyczne
Grupa Robocza art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć:
- stałe albo występujące w określonych odstępach czasu przez ustalony okres;
- cykliczne albo powtarzające się w określonym terminie;
- odbywające się stale lub okresowo.
z kolei „systematyczne” jako:
- występujące zgodnie z określonym systemem,
- Zaangażowane, zorganizowane i metodyczne,
- Odbywające się w ramach generalnego planu zbierania danych;
- Przeprowadzone w ramach określonej strategii.
Jako przykłady działalności, dla której konieczne jest powołanie IOD Grupa wskazuje:
- obsługa sieci telekomunikacyjnej lub świadczenie usług telekomunikacyjnych,
- przekierowywanie poczty elektronicznej,
- działania marketingowe oparte na danych,
- profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
- śledzenie lokalizacji (na przykład przez aplikacje mobilne),
- programy lojalnościowe czy reklama behawioralna,
- monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
- monitoring wizyjny,
- urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, itd.
Szczególne kategorie danych osobowych a powołanie IOD
Trzeci z przypadków, w których należy powołać IOD jest podobnie do pierwszego bardzo jednoznaczny. Dotyczy przetwarzania szczególnych kategorii danych osobowych na dużą skalę lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych. W tym przypadku Grupa wskazuje, że powołanie IOD winno nastąpić nawet jeśli przetwarzanie dotyczy jednego z dwóch wymienionych obszarów, wyroków skazujących lub czynów zabronionych.
Na koniec warto wspomnieć, by powołując IOD pamietać, jakie kryteria powinna spełniać taka osoba.