Inspektor ochrony danych w salonie beauty – kim jest

    Mimo iż od wejścia przepisów w zakresie RODO upłynęło już kilka lat to nadal niektóre praktyki mogą budzić wątpliwości. Dzieje się tak dlatego, że część przedsiębiorców – szczególnie mikro i mali nie do końca wiedzą jak “ugryźć” temat. Problematyczne z tego co widzę jest analiza czy inspektor w danym zakresie jest potrzebny. Jednak należy zacząć od początku i powiedzieć kim właściwie jest inspektor ochrony danych o jakim mowa w przepisach RODO.

    RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Po raz kolejny zachęcam wszystkich przedsiębiorców do tego, aby dokładnie przeczytać owe rozporządzenie. Rozumiem, że ktoś może nie mieć czasu, ale jest to bardzo ważny akt, z którym każdy kto przetwarza dane powinien się zapoznać.

    Artykuł 37 RODO wskazuje na informacje kiedy należy wyznaczyć inspektora ochrony danych

    “Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

    przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

    główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

    główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

    2.Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.

    3. Jeżeli administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.

    4. W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących admini­ stratorów lub podmioty przetwarzające.

    5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.

    6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

    7. Administrator lub podmiot przetwarzający publikują dane kontaktowe inspektora ochrony danych i zawiadamiają o nich organ nadzorczy.”

    Natomiast artykuł 38 RODO wskazuje na status Inspektora. Z tego artykułu dowiemy się, że:

    “1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

    2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

    3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwa­ rzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

    4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

    5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.

    6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

    Z powyższego dowiadujemy się, że Administrator lub podmiot przetwarzający zapewniają by takie zadania i obowiązki jakie ma wypełniać Inspektor nie powodowały konfliktu interesu. Jak również Inspektora powołuje Administrator – może to być jeden z jego pracowników ale tez może to być osoba z zewnątrz po spełnieniu określonych wymogów.

    Z artykułu 39 dowiemy się jakie zadania ma inspektor ochrony danych

    Inspektor ochrony danych ma następujące zadania:

    informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

    monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

    udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

    współpraca z organem nadzorczym;

    pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach”

    Z powyższego wynika, że Inspektor Ochrony Danych nie może być jednocześnie Administratorem. Administrator realizując analizę weryfikuje również czy musi wyznaczyć Inspektora czyli inną osobę. Wyznaczenie inspektora ma swój uzasadniony cel – określoną pieczę nad danymi osobowymi. Nie należy mylić tej sytuacji, z sytuacją, w której Administrator samodzielnie zajmuje się kwestiami ochrony danych bo z analizy jaką przeprowadził wyszło mu, że taki IOD nie jest mu potrzebny.

    Jak można przeczytać na stronie UODO “W świetle RODO DPO ma kluczowe znaczenie w procesie administrowania danymi w związku z czym w rozporządzeniu określono warunki jego powołania, status i opis zadań. Założeniem niniejszych wytycznych jest wyjaśnienie stosownych zapisów RODO celem ułatwienia administratorom i podmiotom przetwarzającym dostosowania się do przepisów prawa, jak również ułatwienia inspektorom ochrony danych wykonywania ich zadań. Wytyczne zawierają również zalecane dobre praktyki, oparte na doświadczeniu niektórych państw członkowskich. GR Art. 29 będzie na bieżąco monitorować implementację wytycznych i w razie zaistnienia potrzeby wzbogacać je o dalsze informacje.” DPO to Data Protection Officer.

    Dodatkowe wytyczne grupy 29 w tym zakresie warto przeczytać tu:

    Wytyczne dotyczące inspektorów ochrony danych (WP 243)

    Zgodnie z artykułem 10 Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. podmiot, który wyznaczył inspektora ochrony danych lub go zmienił ma obowiązek zgłosić ten fakt do UODO w określonych terminach ustawowych.

    Dodatkowo należy wskazać, że salony kosmetyczne, kosmetologiczne przetwarzając dane szczególnej kategorii ujęte w art. 9 RODO powinny dokładnie przeanalizować czy Inspektor jest potrzebny – albowiem podejmując decyzję, że taki inspektor nie jest potrzebny należy mieć udokumentowaną analizę ryzyka w tym zakresie oraz podstawy dlaczego taka decyzja została podjęta.Głównie dlatego, że w razie kontroli jeżeli wyjdzie, że IOD powinien być powołany przez Administratora a nie jest, Administrator powinien wykazać/udowodnić dlaczego go nie powołał -> Rozliczalność.

    Ogromne znaczenie ma fakt, że przetwarzanie danych szczególnych kategorii cechuje się spełnieniem określonych obowiązków oraz odpowiedniej ochrony. Z racji tego, że sama definicja “dużej skali” przetwarzania danych nie została wprost zdefiniowana w przepisach RODO, więc trudno oszacować dokładną liczbę jaką należy uznać za “dużą skalę danych”, administrator oceniając daną skalę powinien brać pod uwagę takie kwestie jak m.in: dane geograficzne, demograficzne, skala na tle konkurencyjnych przedsiębiorstw (firm)itp. Niestety nie ma sztywnego progu jaka liczba będzie wskazywała wprost na “dużą skalę w branży kosmetycznej, ale należy mieć na uwadze, że dużej skali przetwarzania w salonie kosmetycznym w swojej branży i otoczeniu geograficznym itp. nie można porównywać z wielkimi korporacjami i “dużej skali” u nich. Może być bowiem tak, że “duża skala” dla danego salonu w określonych okolicznościach jeszcze przy przetwarzaniu danych szczególnych kategorii to będzie już kilkuset klientów, dlatego tak bardzo ważne jest zrobienie odpowiedniej i rzetelnej inwentaryzacji danych i analizy w tym zakresie bo każdy przypadek może być inny. Dlatego w razie wątpliwości warto skontaktować się z ekspertem w danej dziedzinie.

    Warte uwagi materiały na stronie UODO:

    Podręcznik Inspektora Ochrony Danych Wytyczne dla inspektorów ochrony danych w sektorze publicznym i quasi- publicznym dotyczące sposobu zapewnienia zgodności z europejskim ogólnym rozporządzeniem o ochronie danych -> https://uodo.gov.pl/file/2788

    Czy inspektor ochrony danych powinien być wyznaczany na podstawie takich samych kwalifikacji jak było to w przypadku administratora bezpieczeństwa informacji? -> https://uodo.gov.pl/pl/122/200

    __________________________________________________

    Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.