Close

20.11.2018

Kiedy powołanie Inspektora Danych Osobowych jest obowiązkowe?

Wyznaczenie Inspektora Danych Osobowych (IOD) jest obowiązkowe dla firm (administratorów, podmiotów przetwarzających), których:

  1. główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  2. główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Do powstania obowiązku powołania IOD wystarczy spełnienie jednego z powyższych warunków, których elementem łączącym jest duża skala przetwarzania.

Pomocną wskazówkę interpretacyjną znajdziemy w motywach RODO, gdzie ustawodawca wskazuje, że „przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.”

Motyw dostarcza kilku klarownych wskazówek w kontekście indywidualnej działalności lekarzy, pracowników służby zdrowia i prawników, jednak ocena, czy dany podmiot spełnia przesłanki do obowiązkowego powołania IOD powinna być dokonana w każdym przypadku indywidualnie.

Podstawa prawna: rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).

Jeżeli masz pytanie do autora artykułu lub potrzebujesz porady prawnej w zakresie opisanych zagadnień, skontaktuj się.