RODO: obowiązek wyznaczenia inspektora ochrony danych, gdy dane przetwarza organ lub podmiot publiczny
RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych (IOD) zawsze, gdy dane przetwarza organ lub podmiot publiczny. W praktyce jednak mogą pojawić się problemy z ustaleniem, kiedy mamy do czynienia z podmiotem publicznym.
Z przepisów art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) wynika, że administrator i podmiot przetwarzający wyznaczają IOD zawsze, gdy przetwarzania dokonują organ lub podmiot publiczny - z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Jeżeli administrator (podmiot przetwarzający) jest organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć - z uwzględnieniem ich struktury organizacyjnej i wielkości - jednego IOD.
|
Wyznaczanie inspektora ochrony danych osobowych Inspektora ochrony danych osobowych (IOD):
|
Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.
Wytyczne Grupy Roboczej Art. 29
Istotne znaczenie w rozpatrywaniu obowiązków związanych z ochroną danych osobowych ma Grupa Robocza Art. 29 (dalej: GR Art. 29). Jest to struktura powołana do spraw ochrony osób fizycznych w zakresie przetwarzania danych osobowych. Działa na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, jako niezależny podmiot o charakterze doradczym. Do jej zadań należy m.in. wydawanie, z własnej inicjatywy, zaleceń we wszystkich sprawach dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych we Wspólnocie (więcej informacji na stronie https://giodo.gov.pl/pl/261).
GR Art. 29 wydała m.in. wytyczne dotyczące IOD, w których odniesiono się do użytych wyżej terminów „organ publiczny” i „podmiot publiczny”. W wytycznych GR Art. 29 podkreśliła, że RODO nie przedstawia definicji pojęcia organu lub podmiotu publicznego. Uznano przy tym, że takie pojęcie należy określić na poziomie przepisów krajowych.
|
Do podmiotów publicznych najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również - na mocy właściwego prawa krajowego - wiele innych podmiotów prawa publicznego. We wszystkich tych przypadkach powołanie IOD będzie obowiązkowe. |
Co istotne, zdaniem GR Art. 29, realizacja zadań w interesie publicznym lub sprawowanie władzy publicznej dotyczy nie tylko organów lub podmiotów publicznych, ale również osób fizycznych i prawnych podlegających prawu publicznemu lub prywatnemu - w takich sektorach, jak np. transport publiczny, dostarczanie wody i energii, infrastruktura drogowa, radiofonia i telewizja, budynki użyteczności publicznej. Dotyczy to również organów powołanych dla zawodów regulowanych. W praktyce działania jednostek samorządu terytorialnego będą to więc m.in. spółki komunalne.
GR Art. 29 stwierdziła też, że w tych przypadkach sytuacja osób, których dane dotyczą, może być bardzo podobna do sytuacji przetwarzania ich danych przez organy lub podmioty publiczne. W szczególności dane mogą być przetwarzane w podobnych celach, a możliwość wpływu osób, których dane dotyczą, na charakter tego przetwarzania może być ograniczona bądź wyłączona. Może to zatem wymagać dodatkowej ochrony, jaką daje powołanie IOD.
Chociaż w takich przypadkach obowiązek powołania IOD nie wynika z przepisów RODO, w ramach dobrych praktyk zalecono, aby:
- IOD powoływały prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną,
- działalność IOD obejmowała również wszelkie operacje przetwarzania prowadzone przez jednostkę - w tym te niezwiązane z zadaniami realizowanymi w interesie publicznym.
Pomocne przepisy krajowe
GR Art. 29 zaleca odwoływanie się do przepisów krajowych. Warto więc odnieść się tu do definicji zwartej w art. 5 § 2 Kodeksu postępowania administracyjnego (dalej: k.p.a.). Wynika z niej, że organy administracji publicznej to:
- ministrowie,
- centralne organy administracji rządowej,
- wojewodowie,
- działające w ich lub we własnym imieniu inne terenowe organy administracji rządowej (zespolonej i niezespolonej),
- organy jednostek samorządu terytorialnego,
- organy i podmioty wymienione w art. 1 pkt 2 k.p.a.
Są to więc organy państwowe oraz inne podmioty, gdy są powołane z mocy prawa lub na podstawie porozumień do załatwiania spraw z zakresu postępowania administracyjnego.
Drugi akt prawny, pomocny w tym przypadku, to ustawa o finansach publicznych. W art. 9 tej ustawy wymieniono bowiem jednostki sektora finansów publicznych, które można uznać właśnie za „organy i podmioty publiczne”.
|
Sektor finansów publicznych tworzą: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
W przypadku tych podmiotów powołanie IOD będzie obowiązkowe.
Sławomir Liżewski
Prawnik, wieloletni pracownik aparatu skarbowego
Podstawy prawne
-
art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1)
-
art. 9 ustawy z 27 sierpnia 2009 r. o finansach publicznych (j.t. Dz.U. z 2017 r. poz. 2077; ost. zm. Dz.U. z 2018 r. poz. 62)
-
art. 5 § 2 ustawy z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (j.t. Dz.U. z 2017 r. poz. 1257; ost. zm. Dz.U. z 2018 r. poz. 149)
Komentarze(0)
Pokaż: