Inspektor danych osobowych

Co grozi firmie, która nie posiada Inspektora Ochrony Danych?

Inspektor ochrony danych (IOD) ma być gwarantem poprawnego przetwarzania danych osobowych w przedsiębiorstwie. Co się jednak stanie, gdy inspektor ochrony danych nie zostanie powołany? Czy grożą za to firmie jakieś kary?

Inspektor ochrony danych to stanowisko, które zostało stworzone w rozporządzeniu RODO. Jednak nie wszystkie firmy i instytucje mają obowiązek powoływać IOD.

Kto musi powołać IOD?

Obowiązek powołania Inspektora Ochrony Danych nałożony został na trzy grupy firm/instytucji przetwarzających dane osobowe:

  • instytucje publiczne, które przetwarzają dane osobowe (z wyłączeniem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości)
  • przedsiębiorstwa, w których przetwarzanie danych osobowych stanowi główną działalność firmy i gdzie odbywa się to szeroką skalę ( banki, placówki medyczne, czy usługi typu Data Center)
  • przedsiębiorstwa i instytucje, które przetwarzają dane osobowe szczególnie wrażliwe ( dotyczące poglądów politycznych, pochodzenia rasowego czy etnicznego, orientacji seksualnej) oraz informacje dotyczące wyroków skazujących lub naruszeń prawa.

Brak Inspektora ochrony danych w organizacji, która podczas kontroli UODO zostanie sklasyfikowana jako ta, która musi powołać IOD, może skutkować wysokimi karami finansowej.

Przykład hiszpański

Hiszpański organ właściwy do spraw ochrony danych osobowych (Agencia Española de Protección de Datos – AEPD) ukarał spółkę Glovoapp23 S.L., która jest właścicielem aplikacji Glovo (aplikacja służąca m. in. do zamawiania jedzenia z dostawą) kwotą w wysokości 25 000 euro (ok. 111 000 zł). Hiszpański organ uznał, że spółka, w świetle przepisów RODO, miała obowiązek powołania inspektora danych osobowych, a tego nie uczyniła. Była to pierwsza kara nałożona przez hiszpańskiego regulatora za brak powołania inspektora ochrony danych.

Organ nadzorczy uznał, że spółka, za pośrednictwem aplikacji Glovo przetwarzała dane osobowe użytkowników na dużą skalę. A to oznacza obowiązek powołania w firmie inspektora danych osobowych.
Zarówno w RODO, jak i w hiszpańskiej ustawie o ochronie danych osobowych, nie określono dokładnych limitów, których przekroczenie wiązałoby się z uznaniem, że w tym przypadku dochodzi do przetwarzania danych osobowych na dużą skalę.

Inne przykłady

Organy nadzorcze w innych krajach, gdzie obowiązuje RODO, również nakładały kary za brak w firmie inspektora danych osobowych. Działo się tak już w choćby w Belgii, Austrii czy Niemczech. Najsurowszą karę (51 000 euro czyli ok. 227 000 zł) nałożyła Hamburska Komisja Ochrony Danych na grupę Facebook za brak powołania inspektora ochrony danych. Podobnie wysoką karę nałożył belgijski organ nadzorczy na operatora telekomunikacyjnego – Proximus SA. Również za brak IOD w ich szeregach.

Podsumowanie

Jak widać koszty RODO za brak powołania inspektora danych osobowych może nie należą do najwyższych, ale jednak potrafią być dotkliwe. Dlatego warto przeanalizować zakres przetwarzania danych osobowych w firmie i zastanowić się, czy nie trzeba powołać IOD.