Kto będzie musiał powołać inspektora ochrony danych

Data: 20-12-2016 r.

Inspektora ochrony danych (obecny ABI) będą musieli wyznaczyć administratorzy lub podmioty przetwarzające dane, jeśli ich główna działalność polega na przetwarzaniu danych i gdy wymaga to monitorowania osób na dużą skalę. Jak rozumieć „główną działalność” i „dużą skalę”?

Ogólne rozporządzenie o ochronie danych osobowych nie definiuje terminów „główna działalność” i „duża skala”, co może powodować rozbieżności w wykładni i stosowaniu tego przepisu. W związku z tym wydaje się, że obowiązek powołania inspektora z art. 37 ust. 1 pkt b i c rozporządzenia dotyczy jedynie jednostek organizacyjnych, które gromadzą i przetwarzają ogromne ilości danych osobowych.

„Główna działalność”, czyli…

W świetle motywu 97 preambuły ogólnego rozporządzenia o ochronie danych osobowych za „główną działalność” można uznać taką działalność, która została wskazana w statucie administratora danych, a przetwarzanie danych osobowych jest niezbędne do jej realizacji.

Z kolei jednostki organizacyjne, które przetwarzają dane, ale proces ten nie jest związany z podstawowym przedmiotem ich działalności, w świetle rozpatrywanego ogólnego rozporządzenia o ochronie danych osobowych, nie są zobligowane do wyznaczenia inspektora ochrony danych. Według Grupy Roboczej Artykułu 29 „główna działalność” powinna być interpretowana jako wiodące operacje biznesowe prowadzące do osiągnięcia celu działalności administratora danych.

Czym jest „duża skala”

Pojęcie „dużej skali” może być rozpatrywane w kilku aspektach. Ustawodawca nie określił, czy pojęcie „dużej skali” ma być interpretowane zgodnie z ustawodawstwem krajowym, czy też Unii Europejskiej, co jest dodatkowym utrudnieniem.

W trakcie prac legislacyjnych w Parlamencie Europejskim nad ogólnym rozporządzeniem o ochronie danych osobowych zaproponowano, aby jedną z przesłanek wyznaczenia inspektora ochrony danych było przetwarzanie danych, które dotyczą co najmniej 5000 osób średniorocznie.

W ostatecznej wersji zrezygnowano z tego zapisu, zastępując go pojęciem „dużej skali”. Mając na uwadze powyżej zaproponowany termin, należy zauważyć, że wprowadzenie skali ilościowej przetwarzania danych w polskim systemie prawnym, nie byłoby miarodajnym wyznacznikiem.

Skupienie na miarach ilościowych będzie miało różne odzwierciedlenia w jednostkach organizacyjnych tj.:

  • przetwarzanie danych osobowych w jednym procesie (np. zakłady opieki zdrowotnej),
  • przetwarzanie danych w wielu procesach (np. banki).

Zdaniem Grupy Roboczej Art. 29 pojęcie „dużej skali” nie może być oparte na kryterium ilościowym. W związku z tym każdy przypadek musi być rozpatrywany indywidualnie w zależności od sytuacji.

Pojęcie „dużej skali”, o którym mowa w art. 37 ust. 1 pkt b i c ogólnego rozporządzenia o ochronie danych osobowych, w polskim systemie prawnym może zależeć zarówno od ilości przetwarzanych danych osobowych, jak i ilości procesów, w których te dane zostaną wykorzystane przez administratora danych.

W związku z tym każdy przypadek powinien być rozpatrywany indywidualnie w zależności od sytuacji. Podobny pogląd wyraża Grupa Robocza Artykułu 29, uważając, że pojęcie „dużej skali” nie może być oparte na kryterium ilościowym, w związku z czym nie wypracowała ona żadnego standardu czy ram dla zakresu „dużej skali”.

dr Jowita Sobczak, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 39845 )
Array ( [docId] => 39845 )

Array ( [docId] => 39845 )