Przetwarzanie danych na dużą skalę wg RODO - co oznacza i co się z tym wiąże

Definicję przetwarzania danych osobowych na dużą skalę znajdziemy w motywie 91 RODO. Wskazano w nim, że operacje przetwarzania danych na dużą skalę to operacje, które:

• służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym,

•  mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz

•  mogą powodować wysokie ryzyko, w tym wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają tym osobom wykonywanie przysługujących im praw.

W dalszej części RODO jego przepisy opisują obowiązki, które bezpośrednio oraz pośrednio wynikają z przetwarzania danych na dużą skalę. Ponieważ jednak definicja takiego przetwarzania nie została przez RODO wyczerpana, należy odwołać się do szczegółowych wytycznych w tym zakresie.

Rozwinięcie definicji przetwarzania danych na dużą skalę znajdziemy w Wytycznych Grupy Roboczej Art. 29 RODO dotyczących wytycznych dotyczących inspektorów ochrony danych. Z wytycznych wynika zalecenie, aby określaniu skali przetwarzania uwzględniać następujące czynniki:

•  liczbę osób, których dane dotyczą (konkretną liczbę albo procent określonej grupy społeczeństwa),

•  zakres przetwarzanych danych osobowych (czyli jakie konkretnie dane przetwarzamy),

•  okres, przez jaki dane są przetwarzane,

• zakres geograficzny przetwarzania danych osobowych.

W praktyce jednak nie wszystkie czynniki wymienione w wytycznych występują jednocześnie.

Na tej podstawie Grupa Robocza sformułowała liczne przykłady, w których przetwarzanie odbywa się na dużą skalę. Wskazano również przykłady przetwarzania niemającego takiego charakteru.

Uwzględniając podane przykłady należy oczywiście oceniać indywidualnie każdy przypadek. Znaczenie ma także to, czy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Wielkoskalowe przetwarzanie danych osobowych wiąże się z dodatkowymi obowiązkami administratora danych osobowych. Jest to:

•  konieczność przeprowadzenia oceny skutków dla ochrony danych osobowych (DPIA) oraz

• obowiązek wyznaczenia inspektora ochrony danych (IOD).

Zgodnie z art. 35 ust. 3 ogólnego rozporządzenia o ochronie danych ocena skutków dla ochrony danych powinna być przeprowadzona w szczególności, gdy:

•  przetwarza się na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, albo dane osobowe dotyczące wyroków skazujących i czynów zabronionych (art. 10 RODO),

•  dokonuje się systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie, lub

• dokonuje się systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu (nawet jeżeli nie jest to przetwarzanie na dużą skalę).

Z powyższych wyliczeń mogłoby wynikać, że nie każde przetwarzanie danych na dużą skalę rodzi obowiązek przeprowadzenia DPIA. Wymóg ten jest konsekwencją wielkoskalowego przetwarzania szczególnych kategorii danych osobowych z art. 9 i 10 RODO. Niemniej jednak art. 35 ust. 3 RODO wymienia tylko przykładowe rodzaje przetwarzania. Jednocześnie art. 35 ust. 1 RODO precyzuje, że ocena skutków jest wymagana, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W praktyce każde przetwarzanie danych osobowych na dużą skalę może generować takie ryzyko. Dlatego administrator nie może ograniczać się do ww. przykładów i powinien oceniać indywidualnie każdy przypadek.

Z art. 35 ust. 3, ale też motywu 91 RODO wynika, że ocena skutków dla ochrony danych jest niezbędna również w przypadku monitorowania na dużą skalę miejsc publicznie dostępnych. Do tego rodzaju operacji RODO zaliczane jest przetwarzanie za pomocą urządzeń optyczno-elektronicznych, a także wszelkie inne operacje, względem których właściwy w danym państwie członkowskim organ ochrony danych (w Polsce Prezes Urzędu Ochrony Danych Osobowych) uznaje, że przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Co do zasady wyznaczenie inspektora ochrony danych jest dobrowolne. Niemniej jednak zgodnie z art. 37 ust. 1 RODO wyznaczenie IOD jest obowiązkowe, gdy:

•  główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub

• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa we wspomnianym art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa,

• przetwarzania dokonuje podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. 

W tym miejscu konieczne jest określenie, czym jest główna działalność administratora, bowiem właśnie taką działalność powiązano z wielkoskalowym przetwarzaniem danych w kontekście powołania IOD. Pojęcie "głównej działalności" wyjaśniono w wytycznych i motywie 97 RODO. Otóż główna działalność administratora oznacza jego zasadnicze, a nie poboczne czynności. Jest to działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane.