KTO MOŻE, A KTO MUSI WYZNACZYĆ INSPEKTORA OCHRONY DANYCH?

security-1202344_640

Na  gruncie ustawy o ochronie danych osobowych wyznaczenie administratora bezpieczeństwa informacji jest dobrowolne tak i rozporządzenie unijne nie nakłada obowiązku powołania takiej osoby. Niemniej rozporządzenie  (art. 37 ust.)  wskazuje na przypadki, w których powołanie inspektora ochrony danych jest obligatoryjne:

  • przetwarzania dokonywanego przez organ lub podmiot publiczny, z wyjątkiem sądów w ramach sprawowania przez nie wymiaru sprawiedliwości
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę. W grę wchodzą tu takie podmioty jak banki, instytucje finansowe, zakłady ubezpieczeń, firmy marketingowe.
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii oraz danych o wyrokach skazujących za przestępstwa np. szpitale , policja.

Ponadto zgodnie z art. 37 ust. 4 ogólnego rozporządzenia o ochronie danych obowiązek powołania inspektora ochrony danych może wprowadzić prawo Unii lub prawo państwa członkowskiego. Oznacza to, iż m.in. ustawodawca polski będzie mógł rozszerzyć obowiązek wyznaczenia DPO na inne podmioty.

W pozostałych przypadkach wyznaczenie inspektora będzie fakultatywne. Jednakże nawet w sytuacji, gdy z przepisów nie wynika obowiązek wyznaczenia DPO, Grupa Robocza art. 29 w swoich Wytycznych dotyczących inspektora ochrony danych zaleca administratorom i podmiotom przetwarzającym udokumentowanie wewnętrznej procedury przeprowadzonej w celu ustalenia i uwzględnienia poszczególnych normatywnych przesłanek istnienia lub braku tego obowiązku.