Czym jest "główna działalność" administratora danych i monitorowanie osób na "dużą skalę"

Każdy administrator danych, dla którego przetwarzanie danych jest "główną działalnością", i wiążę się z monitorowaniem osób na "dużą skalę" będzie musiał wyznaczyć inspektora ochrony danych zgodnie z nowym unijnym prawem. Co oznaczają te pojęcia?
Ogólne rozporządzenie o ochronie danych osobowych nie definiuje terminów „główna działalność” i „duża skala”, co może powodować rozbieżności w wykładni i stosowaniu tego przepisu. W związku z tym wydaje się, że obowiązek powołania inspektora z art. 37 ust. 1 pkt b i c rozporządzenia dotyczy jedynie jednostek organizacyjnych, które gromadzą i przetwarzają ogromne ilości danych osobowych.
W świetle motywu 97 preambuły ogólnego rozporządzenia o ochronie danych osobowych za „główną działalność” można uznać taką działalność, która została wskazana w statucie administratora danych, a przetwarzanie danych osobowych jest niezbędne do jej realizacji.
Z kolei jednostki organizacyjne, które przetwarzają dane, ale proces ten nie jest związany z podstawowym przedmiotem ich działalności, w świetle rozpatrywanego ogólnego rozporządzenia o ochronie danych osobowych, nie są zobligowane do wyznaczenia inspektora ochrony danych. Według Grupy Roboczej Artykułu 29 „główna działalność” powinna być interpretowana jako wiodące operacje biznesowe prowadzące do osiągnięcia celu działalności administratora danych.
Pojęcie „dużej skali” może być rozpatrywane w kilku aspektach. Ustawodawca nie określił, czy pojęcie „dużej skali” ma być interpretowane zgodnie z ustawodawstwem krajowym, czy też Unii Europejskiej, co jest dodatkowym utrudnieniem.
 
W trakcie prac legislacyjnych w Parlamencie Europejskim nad ogólnym rozporządzeniem o ochronie danych osobowych zaproponowano, aby jedną z przesłanek wyznaczenia inspektora ochrony danych było przetwarzanie danych, które dotyczą co najmniej 5000 osób średniorocznie.
W ostatecznej wersji zrezygnowano z tego zapisu, zastępując go pojęciem „dużej skali”. Mając na uwadze powyżej zaproponowany termin, należy zauważyć, że wprowadzenie skali ilościowej przetwarzania danych w polskim systemie prawnym, nie byłoby miarodajnym wyznacznikiem.
Skupienie na miarach ilościowych będzie miało różne odzwierciedlenia w jednostkach organizacyjnych tj.:
  • przetwarzanie danych osobowych w jednym procesie (np. zakłady opieki zdrowotnej),
  • przetwarzanie danych w wielu procesach (np. banki).
Zdaniem Grupy Roboczej Art. 29 pojęcie „dużej skali” nie może być oparte na kryterium ilościowym. W związku z tym każdy przypadek musi być rozpatrywany indywidualnie w zależności od sytuacji.
Pojęcie „dużej skali”, o którym mowa w art. 37 ust. 1 pkt b i c ogólnego rozporządzenia o ochronie danych osobowych, w polskim systemie prawnym może zależeć zarówno od ilości przetwarzanych danych osobowych, jak i ilości procesów, w których te dane zostaną wykorzystane przez administratora danych.
W związku z tym każdy przypadek powinien być rozpatrywany indywidualnie w zależności od sytuacji. Podobny pogląd wyraża Grupa Robocza Artykułu 29, uważając, że pojęcie „dużej skali” nie może być oparte na kryterium ilościowym, w związku z czym nie wypracowała ona żadnego standardu czy ram dla zakresu „dużej skali”.


dr Jowita Sobczak,
ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49838 )

Array ( [docId] => 49838 )
Array ( [docId] => 49838 )