Przetwarzanie danych na "dużą skalę". Jakie oznacza to obowiązki?

Pojęcie „przetwarzanie na dużą skalę” pojawiło się w związku ze zniesieniem przez RODO obowiązku zawiadamiania organu ds. ochrony danych osobowych o automatycznym przetwarzaniu danych. Prawodawca zdecydował się skoncentrować na kontrolowaniu tych rodzajów operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Dlatego też RODO nakłada wiele nowych obowiązków na administratorów, którzy dokonują operacji przetwarzania danych na dużą skalę.
Motyw 91 RODO wskazuje, że operacje przetwarzania danych na dużą skalę to operacje, które:
  • służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym,
  • mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz
  • mogą powodować wysokie ryzyko, w tym wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają tym osobom wykonywanie przysługujących im praw.
Grupa Robocza Art. 29 w wytycznych dotyczących inspektorów ochrony danych zaleca, aby przy określaniu, czy przetwarzanie danych następuje na „dużą skalę”, uwzględnić następujące czynniki:
  • liczbę osób, których dane dotyczą (konkretną liczbę albo procent określonej grupy społeczeństwa),
  • zakres przetwarzanych danych osobowych (czyli jakie konkretnie dane przetwarzamy),
  • okres, przez jaki dane są przetwarzane,
  • zakres geograficzny przetwarzania danych osobowych.
 
Z punktu widzenia przepisów przetwarzanie danych na dużą skalę następuje, wówczas gdy przetwarzamy znaczącą ilość danych dużej liczby osób na dużym obszarze przez dłuższy okres. W praktyce jednak nie wszystkie czynniki wymienione w wytycznych wystąpią jednocześnie. Dlatego każdy przypadek należy oceniać indywidualnie.
Z przetwarzaniem danych na dużą skalę związane są obowiązki:
  • przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz
  • wyznaczenia inspektora ochrony danych (IOD).
Odnośnie do obowiązku przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych art. 35 ust. 3 RODO precyzuje, że powinna ona zostać przeprowadzona, w szczególności gdy:
  • przetwarza się na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, albo dane osobowe dotyczące wyroków skazujących i naruszeń prawa lub
  • dokonuje się systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie,
  • dokonuje się systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu (nawet jeżeli nie jest to przetwarzanie na dużą skalę).
Obowiązek przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych dotyczy w każdym przypadku przetwarzania na dużą skalę szczególnej kategorii danych osobowych wymienionych w art. 9 ust. 1 RODO.
Co do zasady wyznaczenie inspektora ochrony danych jest dobrowolne. Jednakże, zgodnie z art. 37 ust. 1 RODO, trzeba będzie wyznaczyć taką osobę zawsze, gdy m.in.:
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa we wspomnianym art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Z RODO wynika obowiązek, zgodnie z którym podmiot przetwarzający dane na dużą skalę, który nie ma jednostek organizacyjnych na terenie UE, będzie musiał wyznaczyć tam swojego przedstawiciela. Obowiązek ten dotyczy podmiotu przetwarzającego dane związane z oferowaniem osobom przebywającym na terenie UE towarów lub usług, a także monitorowaniem ich zachowania na tym terenie.


Marcin Sierpieńspecjalista w zakresie ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Array ( [docId] => 50028 )

Array ( [docId] => 50028 )
Array ( [docId] => 50028 )