Przetwarzasz dane na dużą skalę? Sprawdź, jakie będziesz miał obowiązki według RODO

Motyw 91 RODO wskazuje, że operacje przetwarzania danych na dużą skalę to operacje, które:

• służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym,
• mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz
• mogą powodować wysokie ryzyko, w tym wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają tym osobom wykonywanie przysługujących im praw. 

Do operacji przetwarzania danych, które mogą według RODO przykładowo powodować wysokie ryzyko ich przetwarzania, zalicza się operacje, w ramach których zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia.

Motyw 91 RODO wprost określa, że ocena skutków dla ochrony danych jest niezbędna również w przypadku monitorowania na dużą skalę miejsc publicznie dostępnych. Do tego rodzaju operacji RODO zalicza w szczególności przetwarzanie za pomocą urządzeń optyczno-elektronicznych, a także wszelkie inne operacje, względem których właściwy w danym państwie członkowskim organ ds. ochrony danych osobowych uznaje, że przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Z kolei zgodnie z motywem 91 RODO przetwarzaniem danych osobowych na dużą skalę nie jest przetwarzanie, które dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. Jest to oczywiście jedynie przykładowe wyliczenie.

W dalszej części RODO jego przepisy opisują obowiązki, które bezpośrednio oraz pośrednio wynikają z przetwarzania danych na dużą skalę. Ponieważ jednak definicja takiego przetwarzania nie została przez RODO wyczerpana, należy odwołać się do szczegółowych wytycznych w tym zakresie. 

Grupa Robocza Art. 29 w wytycznych dotyczących inspektorów ochrony danych zaleca, aby przy określaniu, czy przetwarzanie danych następuje na „dużą skalę”, uwzględnić następujące czynniki:

• liczbę osób, których dane dotyczą (konkretną liczbę albo procent określonej grupy społeczeństwa),
• zakres przetwarzanych danych osobowych (czyli jakie konkretnie dane przetwarzamy),
• okres, przez jaki dane są przetwarzane,
• zakres geograficzny przetwarzania danych osobowych.

Grupa Robocza Art. 29 wskazała również przykłady przetwarzania danych, które mieszczą się w pojęciu „przetwarzania na dużą skalę”, jak i przykłady, których pojęcie to nie dotyczy.

Z punktu widzenia przepisów przetwarzanie danych na dużą skalę następuje, wówczas gdy przetwarzamy znaczącą ilość danych dużej liczby osób na dużym obszarze przez dłuższy okres. W praktyce jednak nie wszystkie czynniki wymienione w wytycznych wystąpią jednocześnie. Dlatego każdy przypadek należy oceniać indywidualnie. W kontekście obowiązków, które z takiego przetwarzania wynikają (o czym bardziej szczegółowo w dalszej części), warto przede wszystkim rozważyć, czy przetwarzanie przez nas danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Jeżeli administrator przetwarza dane na dużą skalę, wówczas powinien mieć świadomość obowiązków, które z tego wynikają. Obowiązki takie wprowadza RODO, choć niewykluczone jest, że dodatkowe obowiązki w stosunku do konkretnych rodzajów podmiotów doprecyzują krajowe przepisy sektorowe. Z przetwarzaniem danych na dużą skalę związane są obowiązki:

• przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz
• wyznaczenia inspektora ochrony danych (IOD).

Odnośnie do obowiązku przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych art. 35 ust. 3 RODO precyzuje, że powinna ona zostać przeprowadzona w szczególności, gdy:

• przetwarza się na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, albo dane osobowe dotyczące wyroków skazujących i naruszeń prawa lub
• dokonuje się systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie,
• dokonuje się systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu (nawet jeżeli nie jest to przetwarzanie na dużą skalę).

Z tych przepisów mogłoby wynikać, że nie każde przetwarzanie danych na dużą skalę rodzi obowiązek przeprowadzenia oceny skutków. Niemniej jednak art. 35 ust. 3 RODO wymienia tylko przykładowe rodzaje przetwarzania. Jednocześnie art. 35 ust. 1 RODO precyzuje, że ocena skutków jest wymagana, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Tym samym, zwłaszcza w zestawieniu z przywoływanym wcześniej motywem 91 RODO, który odnosi się do każdego przetwarzania na dużą skalę, trudno sobie wyobrazić przetwarzanie na dużą skalę, które jednocześnie nie powodowałoby wysokiego ryzyka naruszenia tych praw.

Co do zasady wyznaczenie inspektora ochrony danych jest dobrowolne. Jednakże, zgodnie z art. 37 ust. 1 RODO, trzeba będzie wyznaczyć taką osobę zawsze, gdy:

• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa we wspomnianym art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa,
• przetwarzania dokonuje podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

W tym miejscu należy doprecyzować pojęcie „głównej działalności”. Szerzej odnosi się do niego motyw 97 RODO oraz pkt 2.1.2 wytycznych Grupy Roboczej Art. 29. Zgodnie z nimi główna działalność administratora oznacza jego zasadnicze, a nie poboczne czynności. Zgodnie z wytycznymi będzie to działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane.

Dla przykładu z główną działalnością związane będą:

• przetwarzanie danych medycznych przez szpitale,
• monitoring przestrzeni publicznej w przypadku spółki świadczącej usługi ochrony mienia.

Z RODO wynika obowiązek, zgodnie z którym podmiot przetwarzający dane na dużą skalę, który nie ma jednostek organizacyjnych na terenie UE, będzie musiał wyznaczyć tam swojego przedstawiciela. Obowiązek ten dotyczy podmiotu przetwarzającego dane związane z oferowaniem osobom przebywającym na terenie UE towarów lub usług, a także monitorowaniem ich zachowania na tym terenie.