Przetwarzasz dane na dużą skalę? Sprawdź, jakie będziesz miał obowiązki według RODO

Autor: Marcin Sierpień

Dodano: 12 marca 2018
Przetwarzasz dane na dużą skalę? Sprawdź, jakie będziesz miał obowiązki według RODO

Pojęcie „przetwarzanie na dużą skalę” pojawiło się w związku ze zniesieniem przez RODO obowiązku zawiadamiania organu ds. ochrony danych osobowych o automatycznym przetwarzaniu danych. Prawodawca zdecydował się skoncentrować na kontrolowaniu tych rodzajów operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Dlatego też RODO nakłada wiele nowych obowiązków na administratorów, którzy dokonują operacji przetwarzania danych na dużą skalę.

Motyw 91 RODO wskazuje, że operacje przetwarzania danych na dużą skalę to operacje, które:

  • służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym,
  • mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz
  • mogą powodować wysokie ryzyko, w tym wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, w szczególności gdy operacje te utrudniają tym osobom wykonywanie przysługujących im praw. 

Do operacji przetwarzania danych, które mogą według RODO przykładowo powodować wysokie ryzyko ich przetwarzania, zalicza się operacje, w ramach których zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia.

Motyw 91 RODO wprost określa, że ocena skutków dla ochrony danych jest niezbędna również w przypadku monitorowania na dużą skalę miejsc publicznie dostępnych. Do tego rodzaju operacji RODO zalicza w szczególności przetwarzanie za pomocą urządzeń optyczno-elektronicznych, a także wszelkie inne operacje, względem których właściwy w danym państwie członkowskim organ ds. ochrony danych osobowych uznaje, że przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Z kolei zgodnie z motywem 91 RODO przetwarzaniem danych osobowych na dużą skalę nie jest przetwarzanie, które dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. Jest to oczywiście jedynie przykładowe wyliczenie.

W dalszej części RODO jego przepisy opisują obowiązki, które bezpośrednio oraz pośrednio wynikają z przetwarzania danych na dużą skalę. Ponieważ jednak definicja takiego przetwarzania nie została przez RODO wyczerpana, należy odwołać się do szczegółowych wytycznych w tym zakresie. 

Duża skala w wytycznych Grupy Roboczej Art. 29

Grupa Robocza Art. 29 w wytycznych dotyczących inspektorów ochrony danych zaleca, aby przy określaniu, czy przetwarzanie danych następuje na „dużą skalę”, uwzględnić następujące czynniki:

  • liczbę osób, których dane dotyczą (konkretną liczbę albo procent określonej grupy społeczeństwa),
  • zakres przetwarzanych danych osobowych (czyli jakie konkretnie dane przetwarzamy),
  • okres, przez jaki dane są przetwarzane,
  • zakres geograficzny przetwarzania danych osobowych.

Grupa Robocza Art. 29 wskazała również przykłady przetwarzania danych, które mieszczą się w pojęciu „przetwarzania na dużą skalę”, jak i przykłady, których pojęcie to nie dotyczy.

PRZYKŁAD

Przetwarzanie danych na dużą skalę:

  • przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności,
  • przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich),
  • przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych,
  • przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
  • przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,
  • przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przetwarzanie, które nie odbywa się na dużą skalę:

  • przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza,
  • przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata albo radcę prawnego.

Z punktu widzenia przepisów przetwarzanie danych na dużą skalę następuje, wówczas gdy przetwarzamy znaczącą ilość danych dużej liczby osób na dużym obszarze przez dłuższy okres. W praktyce jednak nie wszystkie czynniki wymienione w wytycznych wystąpią jednocześnie. Dlatego każdy przypadek należy oceniać indywidualnie. W kontekście obowiązków, które z takiego przetwarzania wynikają (o czym bardziej szczegółowo w dalszej części), warto przede wszystkim rozważyć, czy przetwarzanie przez nas danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Przetwarzanie na dużą skalę – jakie obowiązki oznacza

Jeżeli administrator przetwarza dane na dużą skalę, wówczas powinien mieć świadomość obowiązków, które z tego wynikają. Obowiązki takie wprowadza RODO, choć niewykluczone jest, że dodatkowe obowiązki w stosunku do konkretnych rodzajów podmiotów doprecyzują krajowe przepisy sektorowe. Z przetwarzaniem danych na dużą skalę związane są obowiązki:

  • przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych oraz
  • wyznaczenia inspektora ochrony danych (IOD).

Odnośnie do obowiązku przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych art. 35 ust. 3 RODO precyzuje, że powinna ona zostać przeprowadzona w szczególności, gdy:

  • przetwarza się na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, albo dane osobowe dotyczące wyroków skazujących i naruszeń prawa lub
  • dokonuje się systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie,
  • dokonuje się systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu (nawet jeżeli nie jest to przetwarzanie na dużą skalę).

Z tych przepisów mogłoby wynikać, że nie każde przetwarzanie danych na dużą skalę rodzi obowiązek przeprowadzenia oceny skutków. Niemniej jednak art. 35 ust. 3 RODO wymienia tylko przykładowe rodzaje przetwarzania. Jednocześnie art. 35 ust. 1 RODO precyzuje, że ocena skutków jest wymagana, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Tym samym, zwłaszcza w zestawieniu z przywoływanym wcześniej motywem 91 RODO, który odnosi się do każdego przetwarzania na dużą skalę, trudno sobie wyobrazić przetwarzanie na dużą skalę, które jednocześnie nie powodowałoby wysokiego ryzyka naruszenia tych praw.

Ważne:

Obowiązek przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych dotyczy w każdym przypadku przetwarzania na dużą skalę szczególnej kategorii danych osobowych wymienionych w art. 9 ust. 1 RODO. Tymi danymi są dane:

  • ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz
  • dane genetyczne i biometryczne.

Co do zasady wyznaczenie inspektora ochrony danych jest dobrowolne. Jednakże, zgodnie z art. 37 ust. 1 RODO, trzeba będzie wyznaczyć taką osobę zawsze, gdy:

  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa we wspomnianym art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa,
  • przetwarzania dokonuje podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.

W tym miejscu należy doprecyzować pojęcie „głównej działalności”. Szerzej odnosi się do niego motyw 97 RODO oraz pkt 2.1.2 wytycznych Grupy Roboczej Art. 29. Zgodnie z nimi główna działalność administratora oznacza jego zasadnicze, a nie poboczne czynności. Zgodnie z wytycznymi będzie to działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane.

Dla przykładu z główną działalnością związane będą:

  • przetwarzanie danych medycznych przez szpitale,
  • monitoring przestrzeni publicznej w przypadku spółki świadczącej usługi ochrony mienia.

Z RODO wynika obowiązek, zgodnie z którym podmiot przetwarzający dane na dużą skalę, który nie ma jednostek organizacyjnych na terenie UE, będzie musiał wyznaczyć tam swojego przedstawiciela. Obowiązek ten dotyczy podmiotu przetwarzającego dane związane z oferowaniem osobom przebywającym na terenie UE towarów lub usług, a także monitorowaniem ich zachowania na tym terenie.

Ważne:

Przetwarzając dane osobowe, administrator musi sprawdzić, czy nie prowadzi przetwarzania na dużą skalę. W tym celu powinien ocenić:

  • liczbę osób, których dane przetwarza,
  • zakres przetwarzanych danych,
  • przez jaki okres dane są przetwarzane,
  • zakres geograficzny przetwarzania.

Ponadto musi:

  • ocenić, czy przetwarza dane na dużą skalę w związku ze swoją główną działalnością,
  • zweryfikować, czy nie pojawiły się przepisy szczególne związane z przetwarzaniem danych w jego branży,
  • śledzić na bieżąco wytyczne Grupy Roboczej Art. 29. 

Autor: Marcin Sierpień

specjalista w zakresie ochrony danych osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel