Na czym polega różnica między Przedstawicielem Unii Europejskiej lub Wielkiej Brytanii a Inspektorem Ochrony Danych?

Od momentu opuszczenia Unii Europejskiej przez Wielką Brytanię, wiele firm, które wcześniej nie były do tego zobowiązane, obecnie muszą wyznaczyć albo Przedstawiciela Unii Europejskiej albo Przedstawiciela Wielkiej Brytanii. Wymóg ten ma zastosowanie niezależnie od tego, czy Wielka Brytania uzyska status odpowiedniości.

Unia Europejska RODO

Status przyznany przez Komisję Europejską (UE) lub rząd Wielkiej Brytanii (UK) państwom trzecim, które zapewniają ochronę danych osobowych zasadniczo równoważną z ochroną zapewnianą przez prawo UE lub Wielkiej Brytanii decyzja Unii Europejskiej. W związku z tą zmianą pojawiło się wiele pytań dotyczących tego, czym jest przedstawiciel i czym się zajmuje, a także czym różni się od inspektora ochrony danych.

RODO

Niezależny ekspert ds. ochrony danych, którego rola obejmuje monitorowanie wewnętrznej zgodności, doradzanie w zakresie obowiązków ochrony danych oraz działanie jako punkt kontaktowy dla osób, których dane dotyczą organu nadzorczego (Inspektor Ochrony Danych) i czy istniejący w firmie inspektor może być również ich przedstawicielem. Jeśli zastanawialiście się Państwo nad tymi zagadnieniami, to na tym blogu uzyskacie odpowiedzi na nurtujące Was pytania.

Przedstawiciel a Inspektor Ochrony Danych

Rozważając różnice pomiędzy Przedstawicielem a Inspektorem Ochrony Danych, w pierwszej kolejności należy przyjrzeć się brytyjskiemu i unijnemu RODO. Artykuł 27 odnosi się do Przedstawicieli Wielkiej Brytanii lub Unii Europejskiej (zwanych dalej Przedstawicielami), podczas gdy artykuły 37-39 rozważają rolę Inspektorów Ochrony Danych (IOD). Artykuły te definiują każdą z tych ról, do kogo się odnoszą i jakie mają obowiązki.

Obowiązki Przedstawiciela RODO

Na wstępie należy zaznaczyć, że obie role mogą mieć zastosowanie jedynie w przypadku, gdy organizacja regularnie przetwarza dane osobowe. Informacje, które odnoszą się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej mieszkańców Wielkiej Brytanii lub Unii Europejskiej. 

Poza tym, kryteria, na podstawie których określa się możliwość zastosowania obu ról różnią się znacząco. Z jednej strony, w odniesieniu do Przedstawicieli, możliwość zastosowania Artykułu 27 opiera się na czynnikach geograficznych. Mianowicie, jeśli organizacja ma siedzibę wyłącznie poza UE lub Wielką Brytanią, obowiązujące RODO wymaga od niej wyznaczenia Przedstawiciela.

Z drugiej strony to, czy wymóg art. 37 dotyczący powołania IOD będzie miał zastosowanie, zależy od skali prowadzonego przetwarzania. Jeśli organizacja przetwarza dane osobowe regularnie i systematycznie na dużą skalę, będzie potrzebowała Inspektora Ochrony Danych. Podobnie, jeśli specjalne kategorie danych osobowych lub dane odnoszące się do wyroków skazujących i przestępstw są przetwarzane na dużą skalę, Inspektor Ochrony Danych jest wymagany. Co istotne, jest to niezależne od tego, gdzie znajduje się organizacja.

Obowiązki Przedstawiciela RODO

Obowiązki podejmowane przez Przedstawiciela są dość proste. Rola ta zasadniczo robi to, co jest napisane na blasze, działa jako przedstawiciel organizacji w Wielkiej Brytanii lub UE. 

W praktyce oznacza to bycie punktem kontaktowym dla organów nadzorczych i podmiotów danych oraz zajmowanie się wszelkimi kwestiami, na które zwrócono im uwagę. Podmioty danych powinny mieć możliwość skontaktowania się z przedstawicielem, jeśli mają jakiekolwiek pytania lub skargi dotyczące sposobu przetwarzania ich danych osobowych lub jeśli chciałyby złożyć wniosek o przyznanie praw. Podobnie organy nadzorcze powinny mieć możliwość skontaktowania się z przedstawicielem, który powinien z nimi współpracować w przypadku, gdy chcą one zbadać wszelkie skargi lub podjąć działania egzekucyjne w związku z nieprzestrzeganiem przepisów. 

Kluczową kwestią, na którą należy zwrócić uwagę, jest to, że rola przedstawiciela jest w dużej mierze reaktywna. Chociaż powinni oni dobrze rozumieć, w jaki sposób organizacja przetwarza dane osobowe, to tylko w takim zakresie, w jakim umożliwi im to prowadzenie dokładnego rejestru czynności przetwarzania (RODO) i pomoże w komunikacji z osobami, których dane dotyczą, i organami nadzorczymi. Ich rola nie sięga dalej i dlatego jest ściśle określona.

Obowiązki Inspektora Ochrony Danych

Dla porównania, chociaż inspektor ochrony danych musi również działać jako punkt kontaktowy dla organów nadzorczych i współpracować z nimi, jego obowiązki sięgają znacznie dalej, ponieważ jest on odpowiedzialny za informowanie i doradzanie organizacji oraz monitorowanie ogólnej zgodności. 

Informowanie i doradzanie organizacji obejmuje szeroki zakres obowiązków, począwszy od zapewnienia wprowadzenia i utrzymania odpowiednich polityk i procedur, zapewniania szkoleń z zakresu ochrony danych dla pracowników organizacji oraz doradztwa i wsparcia związanego z ochroną danych w całej organizacji.

Dokładne zadania, które musi wypełniać inspektor ochrony danych, będą się różnić w zależności od organizacji, jednak jasne jest, że w każdym przypadku wymagają one podjęcia proaktywnych kroków w kierunku zgodności, co odróżnia je od roli przedstawiciela.

Czy jedna osoba może pełnić obie te funkcje?

W zależności od okoliczności, organizacja przetwarzająca dane osobowe mieszkańców UE/UK może być zobowiązana do powołania IOD lub Przedstawiciela, obu lub ewentualnie żadnego z nich. W przypadku gdy organizacja wymaga zarówno przedstawiciela, jak i IOD, logicznym pytaniem może być, czy jedna osoba może pełnić obie te role. 

Choć nie udzielono na to pytanie ostatecznej odpowiedzi, Irlandzka Komisja Ochrony Danych zasugerowała, że należy unikać sytuacji, w której jedna osoba pełni zarówno funkcję Przedstawiciela, jak i IOD, ze względu na możliwość wystąpienia konfliktu interesów, wynikającą z odmiennego ukierunkowania tych dwóch funkcji. Zaleca się zatem, aby organizacje rozgraniczały obie funkcje.

RODO

Podczas gdy na pierwszy rzut oka role Inspektora Ochrony Danych i Przedstawiciela mogą wydawać się podobne, w rzeczywistości są one wyraźnie odmienne. Nie tylko mają one inne zastosowanie, ale również wiążą się z nimi zupełnie inne zobowiązania. Dlatego ważne jest, aby mieć jasność co do tego, która z nich, jeśli w ogóle, jest wymagana przez Państwa organizację.