Przetwarzanie danych na dużą skalę – co to znaczy?

Administrator danych osobowych ma obowiązek wyznaczyć inspektora ochrony danych gdy:

• przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
• główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
• główna działalność administratora polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Druga i trzecia z przesłanek obligatoryjnego powołania IOD opiera się na sformułowaniu przetwarzania danych osobowych na dużą skalę. Jest to sformułowanie nieostre, bliskie wręcz konstrukcji prawnej klauzuli generalnej. Spróbujmy wyjaśnić, co ono oznacza.

Zgodnie z motywem 91 RODO operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Ponadto „przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa”. Jest to pewna wskazówka interpretacyjna ale nie wyjaśnia ona jak duży ma być zakres przetwarzanych danych albo jak dużej ilości osób dane są przetwarzane u danego ADO aby mówić o przetwarzaniu na dużą skalę. Co więcej, nie jesteśmy nawet pewni tego jakiego rodzaju kryteriów zastosować do oceny skali przetwarzania danych osobowych.

Nawet według Grupy Roboczej Art. 29, do których opinii i wytycznych sięga się w takich przypadkach, nie da się wskazać konkretnego miernika oraz wartości, które jednoznacznie wskazywałyby na dużą skalę.

Wydaje się więc, że próbując określić czy przetwarzanie danych osobowych w konkretnym przypadku odbywa się na dużą skalę, należy wziąć pod uwagę:

• liczbę osób, których dane są przetwarzane (podmiotów danych),
• zakres przetwarzanych danych osobowych,
• obszar, na którym dane są przetwarzane,
• czas, przez jaki dane są przetwarzane.

W przypadku przetwarzania regionalnego do wystąpienia dużej skali wystarczy mniejsza ilość podmiotów danych niż w przypadku przetwarzania międzynarodowego. Najważniejszymi ze wskazanych czterech kryteriów zdają się być ilość danych oraz okres ich przetwarzania.