To, że administrator przetwarza dane osobowe w „dużej skali” ma bardzo istotne znaczenie w kontekście jego obowiązków. Od tego zależy bowiem istnienie obowiązku wyznaczenia inspektora ochrony danych. Przetwarzanie danych osobowych w „dużej skali” stanowi również przesłankę obligatoryjnego przeprowadzenia oceny skutków dla ochrony danych. Kiedy mamy do czynienia z wielkoskalowym przetwarzaniem danych?
Z tematu tygodnia dowiesz się:
Choć od wejścia w życie RODO minęło już ponad 7 miesięcy, to jednak nadal interpretacja rozporządzenia rodzi wiele wątpliwości i pytań. Tym bardziej, że RODO posługuje się licznymi pojęciami nieostrymi, m.in. pojęciem „dużej skali” przetwarzania danych osobowych. Pojęcie to pojawia się w art. 35 ust. 3 lit. b i c oraz w art. 37 ust 1 lit b i c RODO. Przetwarzanie danych osobowych szczególnej kategorii w dużej skali stanowi przesłankę istnienia obowiązku wyznaczenia inspektora ochrony danych. Poza tym wielkoskalowe przetwarzanie szczególnych kategorii danych osobowych obliguje administratora do przeprowadzenia oceny skutków dla ochrony danych.
Ocena skutków dla ochrony danych jest wymaga szczególnie wówczas, gdy dochodzi przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 35 ust. 3 lit. b RODO).
Z kolei, jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, wówczas ma on obowiązek wyznaczenia inspektora ochrony danych (art. 37 ust. 1 lit. c RODO).
RODO wprawdzie nie definiuje pojęcia „dużej skali” przetwarzania danych. Zawiera jednak pewne przydatne wskazówki interpretacyjne. Otóż w motywie 91 RODO wskazano, iż operacje przetwarzania o dużej skali to takie operacje, które mają służyć przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym i ponadnarodowym i które mogą mieć wpływ na dużą liczbę osób, których dane dotyczą, oraz które mogą spowodować wysokie ryzyko na przykład (ze względu na swój szczególny charakter), gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw. Co istotne, powyższe rozwiązanie dotyczy wyłącznie oceny skutków dla ochrony danych. Trudno więc odnosić je do przesłanki wielkoskalowego przetwarzania danych w kontekście obowiązku wyznaczenia IOD.
Odpowiadając na pytanie, czy w danym przypadku konieczne jest przeprowadzenie oceny skutków dla ochrony danych administrator powinien więc:
Spółka przetwarza następujące dane osobowe swoich klientów w liczbie ok. 1000: imię, nazwisko, dane teleadresowe, wiek, płeć oraz dane karty kredytowej (numer, data ważności, kod CVV). W przypadku ok. 600 klientów spółka przetwarza również ich dane osobowe szczególnych kategorii a mianowicie dane o stanie zdrowia. Co do zasady dane osobowe są przetwarzane w kraju, z wyjątkiem danych o stanie zdrowia, które przetwarzane są w chmurze na terytorium EOG. Jeden z poddostawców, który ma dostęp do tych danych, ma jednak swoją siedzibę poza EOG.
Przede wszystkim należy rozważyć, czy przetwarzanie jest w tym przypadku związane z główną działalnością administratora. Musimy odpowiedzieć na pytanie, czy dane osobowe są jedynie przechowywane, czy też spółka wykonuje w związku z nimi inne czynności, w szczególności analizuje, ocenia, tworzy raporty, kieruje korespondencję do osób fizycznych czy wykonuje transakcje za pośrednictwem kart. Istotne jest również to, czy są to dane pewnej określonej grupy osób, czy też losowe. Wyjaśnienia wymaga także kwestia poziomu zabezpieczenia danych. Oceniając dużą skalę przetwarzania danych musimy więc zawsze spojrzeć na całokształt procesów przetwarzania danych.
Warto przy tym brać pod uwagę planowane zmiany, jeżeli o nich wiemy i na pewno wydarzą się w najbliższej przyszłości. Gdyby więc spółka w najbliższej przyszłości przetwarzała np. dane osobowe członków rodzin lub dane biometryczne klientów, wówczas mielibyśmy do czynienia z wielkoskalowym przetwarzaniem danych osobowych. Jeżeli zaś spółka jedynie przechowuje dane osobowe i nie planuje żadnych zmian, a dostęp do nich tylko przeszkolony administrator serwera, zaś spółka wdrożyła wszelkie niezbędne środki organizacyjno-techniczne, aby zapewnić bezpieczeństwo danych, zweryfikowała dostawców usług, wówczas przetwarzanie danych na dużą skalę nie ma miejsca.
Jak zatem rozumieć przetwarzanie danych na dużą skalę w kontekście obowiązku powołania IOD? Wobec braku wyjaśnień w samym RODO warto zwrócić uwagę na wytyczne Grupy Roboczej art. 29 - 16/EN WP243, przyjęte w dniu 13 grudnia 2016 r.
Otóż w punkcie 2.1.3. wytycznych wskazane zostały czynniki, które należy uwzględnić w ocenie, czy dochodzi do przetwarzania na "dużą skalę”:
Wskazane przez Grupę Roboczą art. 29 przykłady działalności z wielkoskalowym przetwarzaniem danych:
W takim przypadkach obowiązkowe jest wyznaczenie inspektora ochrony danych.
W przedstawionym zakresie do wytycznych należy podchodzić ze szczególną ostrożnością. Mimo, że dotyczą one inspektorów ochrony danych, to jednak pojęcie „dużej skali” zinterpretowano przez pryzmat art. 35 RODO, a więc w związku z oceną skutków dla ochrony danych. W ocenie autora ich zastosowanie w kontekście obowiązku wyznaczenia IOD jest kontrowersyjne.
Przykłady przedstawione przez Grupę Roboczą są dość oczywiste, ponieważ dotyczą przede wszystkim dużych przedsiębiorstw, bardzo dużej ilości danych osobowych, a także wykorzystywania technologii (zarówno tradycyjne jak i najnowsze rozwiązania). Są to jednak jedynie przykłady, co nie uprawnia do stwierdzenia, że każda inna działalność, niezbliżona do wyżej wymienionych, nie wiąże się z przetwarzaniem danych osobowych na dużą skalę. W ocenie autora z przetwarzaniem wielkoskalowym mamy bowiem do czynienia np. w przypadku prowadzenia portali społecznościowych, aukcyjnych, a także dużych lub międzynarodowych sklepów internetowych.
W motywie 91 RODO wskazano również dwa przypadki, które nie będą uznawane za przetwarzanie danych osobowych w dużej skali, a mianowicie:
Analogiczne spostrzeżenie w odniesieniu do wyznaczenia inspektora ochrony danych możemy odnaleźć w wytycznych Grupy Roboczej art. 29.
Jak już wskazano, warto podchodzić do wytycznych ze szczególną ostrożnością. W ocenie autora wytyczne w tym zakresie nie zasługują bowiem na uwzględnienie. Wprawdzie lekarz nie musi wykonać oceny skutków przetwarzania dla ochrony danych, niemniej jednak nie oznacza to, że proces przetwarzania przez niego danych osobowych nie powinien być kontrolowany przez inspektora ochrony danych. Skoro lekarz w trakcie swojej działalności zgromadził dane szczególnej kategorii od wielu tysięcy pacjentów i przechowuje te dane na prywatnym komputerze, to ryzyko naruszenia bezpieczeństwa danych może być bardzo wysokie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
