Obowiązek wyznaczenia IOD

Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarza-jący wyznaczają inspektora ochrony danych zawsze, gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedli-wości;

b) główna działalność administratora lub podmiotu przetwarzają-cego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i syste-matycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzają-cego polega na przetwarzaniu na dużą skalę szczególnych kate-gorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabro-nionych, o czym mowa w art. 10.

Treść art. 37 ust. 1 RODO pozostaje w powiązaniu z motywem 97 preambuły RODO, gdzie klaruje się, że jeśli przetwarzania dokonuje organ publiczny z wyjątkiem sądów lub niezależnych organów wymiaru sprawiedliwości w ramach sprawowania wymiaru sprawiedliwości lub

jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wyma-gających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub jeżeli główna działalność administrato-ra lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowa-niu wewnętrznego przestrzegania RODO administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych.

Dla prowadzonych tu analiz istotne znaczenie ma, że RODO wy-maga, aby IOD był wyznaczony zawsze, gdy przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowa-nia przez nie wymiaru sprawiedliwości74. Kategoria „organy lub podmio-ty publiczne” nie została sprecyzowana w RODO. W opinii Grupy Ro-boczej art. 29 dotyczącej inspektorów ochrony danych (Wytyczne

dotyczące inspektorów ochrony danych (‘DPO’). Przyjęte w dniu 13 grud-nia 2016 r. przez Grupę Roboczą Art. 29 Ds. Ochrony Danych, WP 243)

wskazano, że pojęcie to powinno zostać określone na poziomie przepisów krajowych, a do podmiotów takich najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, a jednocześnie, z mocy właściwe-go prawa krajowewłaściwe-go, może być zaliczonych także wiele innych podmio-tów prawa publicznego. Z art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) wynika, że do grona organów i podmiotów publicznych zobowiązanych do wyznaczenia IOD należą:

a) jednostki sektora finansów publicznych; b) instytuty badawcze;

c) Narodowy Bank Polski.

74 Szerzej zob. M. Sakowska-Baryła, Obowiązek wyznaczenia IOD w podmiotach

Zgodnie z art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach pu-blicznych (Dz. U. z 2017 r., poz. 2077 ze zm.), do jednostek sektora fi-nansów publicznych zalicza się:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybu-nały;

2) jednostki samorządu terytorialnego oraz ich związki; 3) związki metropolitalne;

4) jednostki budżetowe;

5) samorządowe zakłady budżetowe; 6) agencje wykonawcze;

7) instytucje gospodarki budżetowej; 8) państwowe fundusze celowe;

9) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpie-czenia Społecznego;

10) Narodowy Fundusz Zdrowia;

11) samodzielne publiczne zakłady opieki zdrowotnej; 12) uczelnie publiczne;

13) Polska Akademia Nauk i tworzone przez nią jednostki organi-zacyjne;

14) państwowe i samorządowe instytucje kultury;

15) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicz-nych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

Tak ukształtowany zakres podmiotowy jednostek sektora finansów publicznych pozwala stwierdzić, że należą do nich tzw. podmioty insty-tucjonalne ‒ jednostki organizacyjne, a więc osoby prawne lub jednost-ki organizacyjne niemające osobowości prawnej, utworzone przez państwo

lub jednostkę samorządu terytorialnego, wykonujące zadania publiczne, całkowicie lub częściowo finansowane ze środków publicznych

Obowiązek wyznaczenia IOD dotyczy tak określonych podmiotów publicznych niezależnie od charakteru ich działalności i skali przetwa-rzania danych osobowych, jak również wielkości, rodzaju czy zastoso-wanych w nich rozwiązań organizacyjnych. W efekcie wyznaczenie IOD to zadanie między innymi gminnej biblioteki zatrudniającej trzy osoby czy małego przedszkola, którego personel przetwarza dane osobowe kilkanaściorga dzieci, a liczebność personelu nie przekracza kilku osób. Od strony praktycznej to istotny problem zwłaszcza dla jednostek samo-rządu terytorialnego, które wraz rozpoczęciem stosowania RODO mu-siały zapewnić inspektorów dla dużej liczby podmiotów, w tym także odpowiednie środki finansowe na ich zaangażowanie, oraz zapewniać na to odpowiednie finansowanie w przyszłości.

Choć taki obowiązek nie wynika z przepisów RODO, Grupa Robo-cza Art. 29 we wspomnianych wytycznych WP 243 zaleca, aby prywat-ne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną także powoływały inspektora. Takie rozwiązanie na-leżałoby zalecać z należytą rozwagą, bowiem kwalifikowanie zadania jako „publicznego” nie oznacza, że automatycznie mamy do czynienia z przetwarzaniem danych osobowych o podwyższonych standardach bezpieczeństwa czy podwyższonym ryzyku naruszeń wolności lub praw osoby fizycznej. Takimi podmiotami mogą być m.in. fundacje przetwa-rzające dane osobowe wielu osób np. dotkniętych różnymi chorobami czy wymagających pomocy w zakresie mocno wkraczającym w sferę prywatności osoby fizycznej, jak i punkty przedszkolne, które przetwa-rzają dane niewielkiej grupy uczniów i ich rodziców.

Obserwując praktykę stosowania RODO, można też podawać w wąt-pliwość trafność konceptu prawodawcy unijnego wynikającego z oma-wianego tu art. 37 ust. 1 lit. a, by IOD pojawiał się w każdym podmiocie wyłącznie dlatego, można mu przypisać przymiot „publiczności”

w rozumieniu tego przepisu, i dookreślającego jego desygnaty art. 9 u.o.d.o., bez możliwości wzięcia pod uwagę dodatkowych kryteriów dotyczących przetwarzania danych osobowych lub czynników mających wpływ na jego zakres, charakter, kontekst i cele. Nie sposób też jedno-znacznie stwierdzić, czy formalne wyznaczenie w nich IOD realnie wpływa na podwyższenie standardów ochrony danych osobowych, zwłaszcza gdy, korzystając z możliwości przewidzianej w art. 37 ust. 3 RODO, wyznacza się jednego inspektora dla wielu podmiotów bez uwzględniania ich faktycznych potrzeb i specyfiki działania.

Na odnotowanie zasługuje jednocześnie swoiste wyłączenie spod obowiązku wyznaczenia IOD w odniesieniu do sądów w zakresie spra-wowania wymiaru sprawiedliwości i niewyrażony wprost, ale dający się wyprowadzić w drodze interpretacji art. 37 ust. 1 lit. a RODO powrót do reguły ogólnej wyznaczania IOD tam, gdzie w sądach wymiaru sprawie-dliwości się nie stosuje, a działania sądu nakierowane są np. na warstwę organizacyjną i administracyjną, w tym na zatrudnianie pracowników, obsługę praktyk, realizację dostępu do informacji publicznej, prowadze-nie list biegłych i dokonywaprowadze-nie z nimi odpowiednich rozliczeń, realiza-cję zamówień publicznych, zawieranie umów cywilnoprawnych, obsługę wideomonitoringu, kontrolę wejść i wyjść itp.75 W tych wszystkich przypadkach bowiem nie mamy do czynienia ze sprawowaniem wymia-ru sprawiedliwości, a skoro tak, uzasadnione jest wyznaczenie w sądzie IOD, który swym nadzorem obejmować będzie tak zarysowany obszar procesów przetwarzania danych osobowych. Oznacza to, że także w są-dach – z uwagi na ich „publiczny” charakter ‒ wyznaczenie IOD jest obligatoryjne.

2. Obowiązek wyznaczenia IOD w ujęciu