Skopiuj link
Inspektor Ochrony Danych w pewnym zakresie jest funkcją zbliżoną do obecnie występujących Administratorów Bezpieczeństwa Informacji (ABI). Jego podstawowym zadaniem jest działanie na rzecz prawidłowego przetwarzania danych. Powołanie ABI było jednak fakultatywne, a w przypadku IOD RODO przewiduje sytuacje, w których jest to obligatoryjne. Na administratorze i podmiocie przetwarzającym ciąży obowiązek wyznaczenia inspektora, zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane szczególnych kategorii), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Dane szczególnych kategorii w rozumieniu RODO to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne i biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, a także dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby. Co do zasady, na podstawie RODO przetwarzania danych o takim charakterze jest zabronione.
Jedną z przesłanek obligujących do powołania IOD jest przetwarzanie danych określonych kategorii na dużą skalę. Unijny ustawodawca niestety nie wyjaśnił, jak należy to pojęcie rozumieć. Zatem każdy przypadek powinien być rozstrzygany indywidualnie.
Rozporządzenie dopuszcza również wyznaczenie IOD fakultatywnie w innych przypadkach. Nawet w sytuacji gdy z przepisów nie wynika obowiązek wyznaczenia IOD, to Grupa Robocza w art. 29 swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku. Ponadto, niezależnie od powyższego, inne przepisy prawa Unii lub prawa państwa członkowskiego mogą nakładać na administratorów lub podmioty przetwarzającego obowiązek powołania IOD.
Według Grupy Roboczej art. 29 IOD może znacznie ułatwić wypełnianie obowiązków narzuconych nowymi regulacjami prawnymi administratorom danych. Dlatego też rekomenduje ona powoływanie IOD, nawet w przypadkach gdy nie ma takiego obowiązku.