Kiedy inspektor ochrony danych jest obowiązkowy?

Dane osobowe są przetwarzane w prawie każdej firmie. Podczas postępowania z nimi obowiązują specjalne obowiązki, a w niektórych przypadkach częścią tego jest również powołanie inspektora ochrony danych. Kiedy jednak inspektor ochrony danych jest obowiązkowy? Jakie są możliwości dostosowania się do takiego obowiązku?

Obowiązek powołania inspektora ochrony danych

Art. 37 GDPR i § 38 BDSG nakładają w określonych przypadkach obowiązek powołania przez administratora danych inspektora ochrony danych. Jeśli spełnione są wymogi określone w ustawie, powołanie inspektora ochrony danych jest obowiązkowe. Wszyscy inni administratorzy danych mają swobodę w powoływaniu inspektora ochrony danych.

Wymagania

GDPR wymaga od administratora wyznaczenia inspektora ochrony danych,

• jeżeli przetwarzania dokonuje organ publiczny lub podmiot publiczny (nie dotyczy to sądów w kontekście ich działalności sądowniczej) lub
• gdy działalność podstawowa obejmuje operacje przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają monitorowania na dużą skalę w sposób regularny i systematyczny lub
• jeżeli w ramach działalności podstawowej przetwarzane są dane szczególnej kategorii zgodnie z art. 9 GDPR lub dane dotyczące wyroków karnych i przestępstw (art. 10 GDPR).

GDPR wyznacza więc dość wąskie ramy, w których powołanie inspektora ochrony danych jest rzeczywiście obowiązkowe. Ma on objąć obszary, w których przetwarzane są szczególnie wrażliwe lub szczególnie obszerne dane osobowe.

Wymagania te zostały jednak rozszerzone przez BDSG, dzięki czemu zakres stosowania obowiązku nie jest przecież taki mały. Zgodnie z § 38 BDSG, wyznaczenie jest obowiązkowe również w Niemczech,

• jeżeli co do zasady przy zautomatyzowanym przetwarzaniu danych osobowych zatrudnionych jest na stałe co najmniej 20 osób lub niezależnie od liczby osób zaangażowanych w przetwarzanie
• jeśli przeprowadzane są operacje przetwarzania, które podlegają ocenie skutków dla ochrony danych zgodnie z art. 35 DSGVO lub
• jeżeli dane osobowe są przetwarzane w ramach działalności gospodarczej w celu przekazywania, anonimowego przekazywania lub w celu badania rynku lub opinii.

Jednak próg 20 zatrudnionych osób nie jest tak jednoznaczny, jak się na początku wydaje:

Próg 20 osób musi być osiągnięty "co do zasady". Oznacza to, że bierze się pod uwagę liczbę osób zatrudnionych przy zautomatyzowanym przetwarzaniu danych osobowych w okresie jednego roku lub to, jaka liczba będzie zatrudniona w kontekście prognozy.

Osoby te muszą być również "stale" zatrudnione, co oznacza, że zadanie jest wykonywane przez te osoby regularnie. Przetwarzanie danych osobowych nie musi być głównym zadaniem czy istotą działalności danej osoby. Wystarczy, że przetwarzanie danych osobowych odbywa się w ramach konkretnej działalności. Wystarczy, że osoba jest podłączona do systemu komunikacyjnego, takiego jak Outlook lub ma dostęp do własnych katalogów adresowych firmy. Przy badaniu, czy wartość progowa została przekroczona, uwzględnia się pracowników, którzy nie mają innych kompetencji niż wyświetlanie danych osobowych.

Oznacza to, że niektóre firmy w Niemczech podlegają obowiązkowi powołania inspektora ochrony danych, który może nawet nie być tego świadomy. Niepowołanie inspektora ochrony danych jest obecnie uważane za średnio formalne naruszenie, które zwykle kosztuje od 20 000 do 30 000 euro (w zależności od obrotu) w postaci grzywny.

Wewnętrzny czy zewnętrzny inspektor ochrony danych?

Firmy mogły nie tylko wyznaczyć pracownika jako inspektora ochrony danych oprócz jego normalnej pracy w firmie, ale także wyznaczyć do tego zadania osobę z zewnątrz.

Jeśli wybrany zostanie pracownik wewnętrzny, będzie on musiał przejść wiele szkoleń. Ponadto pracownik ten musi być regularnie szkolony, co powoduje dodatkowe koszty przy mniejszej ilości siły roboczej do realizacji rzeczywistych zadań. Z powodu tego wysiłku, stanowisko to jest zwykle bardzo niepopularne wśród pracowników. Ponadto, pracownikom wewnętrznym często trudno jest utrzymać przegląd całej firmy, a tym samym być w stanie skutecznie wykonywać swoje obowiązki. Pracownik wewnętrzny musi być bezstronny i nie może monitorować samego siebie; wyłączeni są już z tego pracownicy IT lub pracownicy odpowiedzialni za kadry lub działy, jak również wszyscy pracownicy na stanowiskach kierowniczych i pracownicy z organami korporacyjnymi.

Jeśli natomiast wybierzesz zewnętrznego konsultanta, możesz polegać na jego certyfikowanej wiedzy i nie musisz się martwić o dalsze szkolenia. Ponadto, stała opłata ułatwia oszacowanie dodatkowych kosztów i utrzymanie ich w rozsądnych granicach. Zewnętrzny inspektor ochrony danych ma zwykle lepszy przegląd sytuacji i zachowuje neutralność.

O tym, co jest lepszą alternatywą dla danej firmy, należy jednak decydować indywidualnie.

Konieczność posiadania wielu inspektorów ochrony danych?

Co do zasady możliwe jest powołanie wspólnego inspektora ochrony danych dla kilku podmiotów, które podlegają temu samemu kierownictwu.

Zgodnie z art. 37 II możliwe jest powołanie przez firmy wspólnego grupowego inspektora ochrony danych. Więcej szczegółów na ten temat można znaleźć tutaj.

Zgodnie z art. 37 III to samo dotyczy organów i instytucji publicznych, jeżeli jest to możliwe zgodnie ze strukturą organizacyjną.

FAQ

P: Kiedy wymagany jest inspektor ochrony danych?

O: Zgodnie z RODO inspektor ochrony danych jest wymagany powyżej określonej liczby pracowników lub w przypadku niektórych rodzajów operacji przetwarzania danych.

P: Kiedy należy wyznaczyć inspektora ochrony danych?

O: Inspektor ochrony danych musi zostać wyznaczony, jeśli dane osobowe są regularnie przetwarzane w firmie, niezależnie od jej wielkości.

P: Jakie są zadania inspektora ochrony danych w firmie?

O: Inspektor ochrony danych w firmie jest odpowiedzialny między innymi za monitorowanie zgodności z przepisami o ochronie danych, doradzanie pracownikom i współpracę z organami nadzorczymi.

P: Kiedy grożą grzywny w związku z inspektorem ochrony danych?

O: Grzywny mogą być nakładane za naruszenia ogólnego rozporządzenia o ochronie danych (RODO), zwłaszcza jeśli nie wyznaczono inspektora ochrony danych lub naruszono przepisy o ochronie danych.

P: Czy wyznaczenie inspektora ochrony danych jest wymagane przez prawo?

O: Tak, w niektórych przypadkach wyznaczenie inspektora ochrony danych jest wymagane przez prawo, aby zapewnić ochronę danych w firmie.

P: Które operacje przetwarzania danych wymagają wyznaczenia inspektora ochrony danych?

O: Specjalne rodzaje przetwarzania danych, takie jak dane dotyczące zdrowia lub informacje o wyrokach skazujących, mogą wymagać wyznaczenia inspektora ochrony danych.

P: Jaka jest pozycja i zadania inspektora ochrony danych?

O: Inspektor ochrony danych zajmuje niezależne stanowisko w firmie i jest odpowiedzialny za monitorowanie ochrony danych, szkolenie pracowników i kontakty z władzami.

P: Kiedy inspektor ochrony danych jest obowiązkowy?

O: Zgodnie z RODO inspektor ochrony danych jest wymagany, jeśli dane osobowe są regularnie i systematycznie przetwarzane w firmie. Dokładne kryteria określające, kiedy powołanie inspektora ochrony danych jest konieczne, zostały określone w BDSG.

P: Kiedy należy wyznaczyć inspektora ochrony danych?

O: Firma musi wyznaczyć inspektora ochrony danych, jeśli przetwarzanie danych obejmuje szczególnie wrażliwe dane lub jeśli jest to konieczne ze względu na charakter, zakres lub cele przetwarzania danych.

P: Jakie są zadania inspektora ochrony danych w firmie?

O: Inspektor ochrony danych w firmie jest odpowiedzialny za monitorowanie zgodności z przepisami o ochronie danych, organizowanie szkoleń w firmie, odpowiadanie na zapytania osób, których dane dotyczą i działanie jako punkt kontaktowy dla organów nadzorczych.

P: W jakich przypadkach konieczne jest wyznaczenie inspektora ochrony danych?

O: Firma jest zobowiązana do wyznaczenia inspektora ochrony danych, jeśli regularnie i systematycznie przetwarza dane osobowe lub jeśli jest to wymagane przez prawo.

P: Jakie grzywny mogą zostać nałożone za naruszenie przepisów o ochronie danych w odniesieniu do inspektora ochrony danych?

O: Naruszenie przepisów o ochronie danych osobowych może skutkować wysokimi karami, zwłaszcza jeśli nie wyznaczono inspektora ochrony danych, choć było to konieczne.

P: Jaką rolę odgrywa RODO w wyznaczaniu inspektora ochrony danych?

O: RODO określa wymogi dotyczące wyznaczenia inspektora ochrony danych oraz reguluje obowiązki i zobowiązania związane z ochroną danych osobowych.