Czy powoływać inspektora ochrony danych, gdy RODO tego nie wymaga?

Czy powoływać inspektora ochrony danych? To częsty dylemat tych przedsiębiorców, którzy chcą uporządkować sprawy dotyczące ochrony danych osobowych.

Jednak na samym początku należy wyjaśnić bardzo ważną kwestię. Nie każdy administrator musi powołać inspektora. Wręcz przeciwnie – istnieje o wiele więcej podmiotów gospodarczych zwolnionych z obowiązku posiadania inspektora, niż tych zobowiązanych. Wystarczy spojrzeć na przesłanki określone w art. 37 ust. 1 RODO, aby dojść do powyższego wniosku.

Wstępnym sprawdzeniem, czy są Państwo jako przedsiębiorca zobligowani do powołania inspektora jest odpowiedź na pytanie, czy:

  • Państwa główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (czyli danych dotyczących zdrowia, seksualności lub orientacji seksualnej osoby; ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych; danych genetycznych, biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby);
  • Państwa główna działalność polega na przetwarzaniu na dużą skalę danych dotyczących wyroków skazujących i czynów zabronionych;
  • Państwa główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają na dużą skalę regularnego i systematycznego monitorowania osób.

Odpowiedź na pierwsze dwa pytania jest dość prosta. Typową organizacją, której główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych jest np. szpital. Oczywiście najważniejszym zadaniem szpitala jest leczenie pacjentów, lecz bez danych osobowych nie byłoby to możliwe. Stąd należy wyprowadzić wniosek, że szpital powinien powołać inspektora.

Większe wątpliwości mogą pojawić się w przypadku monitorowania. Czy RODO odnosi się jedynie do monitorowania w postaci stosowania monitoringu wizyjnego, czy może do innych jego form? Otóż pojęcie “monitorowania” należy rozumieć szeroko. Będziemy mieli z nim do czynienia także w przypadku śledzenia i profilowania w internecie, śledzenia lokalizacji czy obserwowania stanu zdrowia użytkowników aplikacji mobilnej. Należy jednocześnie pamiętać o skali monitorowania oraz jej regularności i systematyczności, a także o tym, czy jest to Państwa główna działalność.

Zatem czy warto powołać inspektora ochrony danych, gdy nie mamy takiego obowiązku? Wydaje mi się, że nie. Zgodnie z przepisami RODO, inspektor powinien być odpowiednio umiejscowiony w strukturze organizacyjnej administratora oraz mieć zapewnione odpowiednie warunki pracy (np. niezbędne zasoby  do utrzymania fachowej wiedzy). Ponadto nie może być on odwoływany ani karany przez administratora za wypełnianie swoich zadań. Dlatego też lepszym rozwiązaniem może być wyznaczenie odpowiedniej osoby, która będzie realizować obowiązki związane z ochroną danych osobowych lub skorzystanie ze wsparcia zewnętrznego podmiotu.

Oczywiście intencją przepisów RODO było to, aby inspektor mógł w pełni niezależnie i profesjonalnie wypełniać swoje zadania, jednak można odnieść wrażenie, że jego pozycja w przedsiębiorstwie będzie bardzo mocna, o ile nie zbyt mocna i nieadekwatna w stosunku do potrzeb. Jestem przekonany, że przy odpowiedzialnym i rzetelnym podejściu kadry zarządzającej firmą do kwestii danych osobowych, prawidłową ich ochronę są w stanie zapewnić osoby, które nie posiadają statusu inspektora ochrony danych osobowych. Wystarczy, że mają fachową wiedzą i są włączane w działania przedsiębiorstwa.

Powołanie inspektora ochrony danych można jednak rozważyć pod kątem korzyści wizerunkowych. Na pewno jest to wyraźny sygnał, że w firmie przykłada się dużą wagę do kwestii ochrony danych.

Zatem zanim zdecydujemy o powołaniu inspektora, mimo że nie mamy takiego obowiązku, warto zastanowić się nie tylko nad tym, jak ważne i jak duże są nasze zbiory danych, ale również, czy chcemy, aby w przedsiębiorstwie pojawiła się osoba o wyjątkowym statusie.