Przepisy RODO wprowadzają w miejsce dotychczasowego Administratora Bezpieczeństwa Informacji (ABI) nowy podmiot, tj. Inspektora Ochrony Danych (IOD). Funkcje tych podmiotów są zbliżone. Obecnie powołanie ABI jest jednak  fakultatywne niezależnie od charakteru i rozmiaru przetwarzania danych osobowych, podczas gdy zgodnie z RODO powołanie IOD będzie obligatoryjne m.in. gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności (motywy RODO – pkt 97). Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej, co nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania IOD.  

Kolejnym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać IOD.

Przetwarzanie danych osobowych musi odbywać się na „dużą skalę”. Nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Nie wyklucza to sytuacji, w której, wraz z rozwojem praktyki ukształtują się standardy, które umożliwiałyby kwantytatywne określenie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania. Zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

•       Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;

•       Zakres przetwarzanych danych osobowych;

•       Okres, przez jaki dane są przetwarzane;

•       Zakres geograficzny przetwarzania danych osobowych;

Zgodnie z motywami do RODO (pkt 91) operacje na dużą skalę służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia - oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw.

Kolejną przesłanką powołania IOD jest „regularne i systematyczne monitorowania osób”. Do „monitorowania osób” odnosi się motyw 24 do RODO: Aby stwierdzić, czy czynność przetwarzania można uznać za "monitorowanie zachowania" osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw.

Chcesz wiedzieć czy będziesz mieć obowiązek powołania Inspektora Ochrony Danych? Skontaktuj się z nami.