Aktualny

Czym jest „główna działalność” administratora i „duża skala” według rodo

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 22 grudnia 2016
Czym jest „główna działalność” administratora i „duża skala” według rodo

Administrator, którego główna działalność polega na przetwarzaniu danych wymagającym monitorowania osób na dużą skalę będzie musiał powołać inspektora ochrony danych (obecny ABI). Sprawdź, co oznaczają pojęcia „główna działalność” i „duża skala”.

Zgodnie z art. 37 ust. 1 pkt b i c ogólnego rozporządzenia o ochronie danych osobowych administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze, gdy „(…) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (…)”.

Co na ten temat mówi rozporządzenie ogólne

Ogólne rozporządzenie o ochronie danych osobowych nie definiuje istotnych dla realizacji powołanego artykułu terminów „główna działalność” i „duża skala”, co może powodować rozbieżności w wykładni i stosowaniu tego przepisu. W związku z tym wydaje się, że powołany artykuł dotyczy jedynie jednostek organizacyjnych, które gromadzą i przetwarzają ogromne ilości danych osobowych. Zgodnie z motywem 97 preambuły ogólnego rozporządzenia o ochronie danych osobowych:

„(…) jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia, administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”.

Kiedy przetwarzanie danych to „główna działalność”

W świetle motywu 97 preambuły ogólnego rozporządzenia o ochronie danych osobowych za „główną działalność” można uznać taką działalność, która została wskazana w statucie administratora danych, a przetwarzanie danych osobowych jest niezbędne do jej realizacji.

Przykład

Główna działalność zakładów opieki zdrowotnej polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania na dużą skalę danych osób, których dane dotyczą. Dotyczy to również banków, których działalność polega na sprzedaży usług bankowych (kredyty, rachunki itp.), podczas realizacji której niezbędne jest przetwarzanie danych. Przedsiębiorcą, który przetwarza dane osobowe w ramach głównej działalności, będzie np. operator telefonii cyfrowej przetwarzający dane abonentów.

Jednostki organizacyjne, które przetwarzają dane, ale proces ten nie jest związany z podstawowym przedmiotem ich działalności, w świetle rozpatrywanego ogólnego rozporządzenia o ochronie danych osobowych, nie są zobligowane do wyznaczenia inspektora ochrony danych.

Przetwarzanie danych kadrowych nie wymaga wyznaczenia inspektora ochrony danych, ponieważ nie jest to wiodąca działalność przedsiębiorstwa. Według Grupy Roboczej Artykułu 29 „główna działalność” powinna być interpretowana jako wiodące operacje biznesowe prowadzące do osiągnięcia celu działalności administratora danych.

Kiedy monitorowanie osób odbywa się na „dużą skalę”

Pojęcie „dużej skali” może być rozpatrywane w kilku aspektach. Ustawodawca nie określił, czy pojęcie „dużej skali” ma być interpretowane zgodnie z ustawodawstwem krajowym, czy też Unii Europejskiej, co jest dodatkowym utrudnieniem. W trakcie prac legislacyjnych w Parlamencie Europejskim nad ogólnym rozporządzeniem o ochronie danych osobowych zaproponowano, aby jedną z przesłanek wyznaczenia inspektora ochrony danych było przetwarzanie danych, które dotyczą co najmniej 5000 osób średniorocznie.

W ostatecznej wersji zrezygnowano z tego zapisu, zastępując go pojęciem „dużej skali”. Mając na uwadze powyżej zaproponowany termin, należy zauważyć, że wprowadzenie skali ilościowej przetwarzania danych w polskim systemie prawnym, nie byłoby miarodajnym wyznacznikiem.

Skupienie na miarach ilościowych będzie miało różne odzwierciedlenia w jednostkach organizacyjnych tj.:

  • przetwarzanie danych osobowych w jednym procesie (np. zakłady opieki zdrowotnej),
  • przetwarzanie danych w wielu procesach (np. banki).
Ważne:

Zdaniem Grupy Roboczej Art. 29 pojęcie „dużej skali” nie może być oparte na kryterium ilościowym. W związku z tym każdy przypadek musi być rozpatrywany indywidualnie w zależności od sytuacji.

Pojęcie „dużej skali”, o którym mowa w art. 37 ust. 1 pkt b i c ogólnego rozporządzenia o ochronie danych osobowych, w polskim systemie prawnym może zależeć zarówno od ilości przetwarzanych danych osobowych, jak i ilości procesów, w których te dane zostaną wykorzystane przez administratora danych.

W związku z tym każdy przypadek powinien być rozpatrywany indywidualnie w zależności od sytuacji. Podobny pogląd wyraża Grupa Robocza Artykułu 29, uważając, że pojęcie „dużej skali” nie może być oparte na kryterium ilościowym, w związku z czym nie wypracowała ona żadnego standardu czy ram dla zakresu „dużej skali”.

Państwa członkowskie mogą ustalić dodatkowe wymogi

Wyznaczenie inspektora ochrony danych nie zawsze będzie współgrało z interesem ekonomicznym administratora danych. W związku z tym, wprowadzenie definicji i wyjaśnienie terminów „główna działalność” oraz „duża skala” użytych w artykule 37 ogólnego rozporządzenia o ochronie danych osobowych będzie miało ogromne znaczenie dla praktyki realizacji tego przepisu.

Należy zaznaczyć, że państwa członkowskie Unii Europejskiej, w tym Polska, mają swobodę w zakresie ustanawiania przepisów krajowych nakładających dodatkowe wymogi dotyczące wyznaczenia inspektora ochrony danych. Wymogi w państwie członkowskim mogą przybierać bardziej restrykcyjne formy niż te określone w rozporządzeniu ogólnym.

Rozporządzenie ogólne o ochronie danych osobowych daje państwom członkowskim Unii Europejskiej możliwość ustalenia dodatkowych warunków, w których trzeba będzie wyznaczyć inspektora ochrony danych osobowych.

Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x