Kto ma powołać IODO?

Jowita Kania-Stachura12 marca 2018Komentarze (0)

Szanowni Państwo!

W ostatnim wpisie rozpoczęliśmy analizę nowych uregulowań dotyczących IODO (Inspektora Ochrony Danych osobowych). Dzisiaj ciąg dalszy. Oddaję głos Piotrowi Potockiemu.

Niewątpliwie najistotniejszą kwestią z Państwa punktu widzenia, jest pytanie, kto będzie musiał wyznaczyć IODO? Zostało to uregulowane w art. 37 ust. 1 RODO, którego brzmienie pozwolę sobie ponownie przywołać.

„Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.

Podkreślenia, które widzą Państwo w tekście nie są przypadkowe. Sygnalizują one kluczowe kwestie (które po kolei będziemy omawiać), od których zależy obowiązek lub brak obowiązku powołania IODO.

W pierwszej kolejności trzeba jednoznacznie stwierdzić, że art. 37 ust. 1 RODO zawiera katalog przypadków, w których administrator i podmiot przetwarzający muszą wyznaczyć IODO. Spójnik „i” należy interpretować w ten sposób, że obowiązek ten obciąża i administratora i podmiot przetwarzający (procesora). Innymi słowy nie wystarczy jeden IODO „na spółkę” tylko każdy z tych podmiotów musi powołać swojego IODO zawsze wtedy, gdy spełnione są przesłanki z art. 37 ust. 1lit. a – c. RODO.

Po pierwsze, administrator lub podmiot przetwarzający zobowiązany jest wyznaczyć IODO jeżeli jest organem lub podmiotem publicznym. Część z Państwa odetchnęła teraz z ulgą. Proszę jednak doczytać do końca bo pojęcie podmiotu publicznego jest bardzo pojemne.

Przepisy samego RODO nie formułują definicji organów lub podmiotów publicznych, dlatego dla ich wskazania należy odwołać się do ustaw krajowych i to na ich podstawie stwierdzić, że organami publicznymi będą te wymienione w art. 5 § 2 pkt 3 k.p.a., a więc ministrowie, centralne organy administracji rządowej, wojewodowie, inne terenowe organy zespolonej i niezespolonej administracji rządowej, organy jednostek samorządu terytorialnego oraz inne organy i podmioty powołane z mocy prawa albo na podstawie porozumień do załatwiania należących do ich właściwości spraw indywidualnych rozstrzyganych w drodze decyzji administracyjnych.

Z kolei pod pojęciem podmioty publiczne należy rozumieć podmioty wskazane w art. 9 pkt 1–14 ustawy o finansach publicznych oraz inne podmioty, którym podmiot publiczny powierzył lub zlecił realizację zadania publicznego, jeżeli w związku z realizacją tego zadania przetwarzają dane osobowe. Oznacza to, że IODO muszą powołać na przykład biblioteki publiczne, samodzielne zakłady opieki zdrowotnej, domy kultury, czy uniwersytety. Nie ma tutaj znaczenia wielkość danej jednostki, czy ilość, zakres i rodzaj danych, które przetwarza. Wystarczy, że jest podmiotem lub organem publicznym.

Nie jest to jednak wszystko. Zgodnie z wytycznymi organów zajmujących się opracowaniem RODO, wyznaczyć IODO powinny również podmioty prywatne wykonujące zadania z zakresu administracji publicznej. Powyższe oznacza, że obowiązek ten spoczywa także na przedsiębiorcy, który funkcjonuje w gałęziach gospodarki służących zaspokajaniu w sposób masowy istotnych i powszechnych potrzeb ludności. Jedyną przesłanką kwalifikującą podmiot do wyznaczania IODO jest więc tak naprawdę wykonywanie zadań publicznych. Obowiązek ten będzie spoczywał przede wszystkim na przedsiębiorcach funkcjonujących w branżach, które w przeszłości były objęte monopolem państwowym lub które tradycyjnie były identyfikowane z działalnością państwa. Przeważnie tymi podmiotami będą zatem przedstawiciele branży telekomunikacyjnej, zarządców dróg publicznych, linii przesyłowych, kanalizacyjnych, niepublicznych szkół wyższych, przewoźników realizujących transport publiczny, czy zrzeszeń zawodów regulowanych. Warto przy tym zaznaczyć, że taki obowiązek może dotyczyć również fundacji, których statutowym celem jest realizacja zadań publicznych. Ponadto wyznaczony w takich podmiotach IODO musi czuwać nie tylko nad przetwarzaniem danych związanych z wykonywaniem zadań z zakresu administracji publicznej, ale powinien także koordynować całokształt pracy administratora lub podmiotu przetwarzającego.

Wyłączone z obowiązku wyznaczenia IODO są jedynie sądy, ale tylko w zakresie sprawowania wymiaru sprawiedliwości.

Podsumowując, drogi czytelniku zanim zaczniesz zastanawiać się, czy powołać IODO, czy nie, sprawdź czy  wykonujesz jakieś zadania zlecone przez jednostki rządowe lub samorządowe, np. takie jak realizowanie przewozów dofinansowanych przez gminę. Jeżeli tak, to zdecydowanie powinieneś poszukać swojego IODO.

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Kania Stachura Toś Kancelaria Radców Prawnych Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Kania Stachura Toś Kancelaria Radców Prawnych z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem jowita.kania@kancelariakst.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: