Czym jest „główna działalność” administratora i „duża skala” według rodo

Zgodnie z art. 37 ust. 1 pkt b i c ogólnego rozporządzenia o ochronie danych osobowych administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych zawsze, gdy „(…) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (…)”.

Ogólne rozporządzenie o ochronie danych osobowych nie definiuje istotnych dla realizacji powołanego artykułu terminów „główna działalność” i „duża skala”, co może powodować rozbieżności w wykładni i stosowaniu tego przepisu. W związku z tym wydaje się, że powołany artykuł dotyczy jedynie jednostek organizacyjnych, które gromadzą i przetwarzają ogromne ilości danych osobowych. Zgodnie z motywem 97 preambuły ogólnego rozporządzenia o ochronie danych osobowych:

„(…) jeżeli w sektorze prywatnym przetwarzania dokonuje administrator, którego główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, to w monitorowaniu wewnętrznego przestrzegania niniejszego rozporządzenia, administrator lub podmiot przetwarzający powinni być wspomagani przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”.

W świetle motywu 97 preambuły ogólnego rozporządzenia o ochronie danych osobowych za „główną działalność” można uznać taką działalność, która została wskazana w statucie administratora danych, a przetwarzanie danych osobowych jest niezbędne do jej realizacji.

Jednostki organizacyjne, które przetwarzają dane, ale proces ten nie jest związany z podstawowym przedmiotem ich działalności, w świetle rozpatrywanego ogólnego rozporządzenia o ochronie danych osobowych, nie są zobligowane do wyznaczenia inspektora ochrony danych.

Przetwarzanie danych kadrowych nie wymaga wyznaczenia inspektora ochrony danych, ponieważ nie jest to wiodąca działalność przedsiębiorstwa. Według Grupy Roboczej Artykułu 29 „główna działalność” powinna być interpretowana jako wiodące operacje biznesowe prowadzące do osiągnięcia celu działalności administratora danych.

Pojęcie „dużej skali” może być rozpatrywane w kilku aspektach. Ustawodawca nie określił, czy pojęcie „dużej skali” ma być interpretowane zgodnie z ustawodawstwem krajowym, czy też Unii Europejskiej, co jest dodatkowym utrudnieniem. W trakcie prac legislacyjnych w Parlamencie Europejskim nad ogólnym rozporządzeniem o ochronie danych osobowych zaproponowano, aby jedną z przesłanek wyznaczenia inspektora ochrony danych było przetwarzanie danych, które dotyczą co najmniej 5000 osób średniorocznie.

W ostatecznej wersji zrezygnowano z tego zapisu, zastępując go pojęciem „dużej skali”. Mając na uwadze powyżej zaproponowany termin, należy zauważyć, że wprowadzenie skali ilościowej przetwarzania danych w polskim systemie prawnym, nie byłoby miarodajnym wyznacznikiem.

Skupienie na miarach ilościowych będzie miało różne odzwierciedlenia w jednostkach organizacyjnych tj.:

• przetwarzanie danych osobowych w jednym procesie (np. zakłady opieki zdrowotnej),
• przetwarzanie danych w wielu procesach (np. banki).

Pojęcie „dużej skali”, o którym mowa w art. 37 ust. 1 pkt b i c ogólnego rozporządzenia o ochronie danych osobowych, w polskim systemie prawnym może zależeć zarówno od ilości przetwarzanych danych osobowych, jak i ilości procesów, w których te dane zostaną wykorzystane przez administratora danych.

W związku z tym każdy przypadek powinien być rozpatrywany indywidualnie w zależności od sytuacji. Podobny pogląd wyraża Grupa Robocza Artykułu 29, uważając, że pojęcie „dużej skali” nie może być oparte na kryterium ilościowym, w związku z czym nie wypracowała ona żadnego standardu czy ram dla zakresu „dużej skali”.

Wyznaczenie inspektora ochrony danych nie zawsze będzie współgrało z interesem ekonomicznym administratora danych. W związku z tym, wprowadzenie definicji i wyjaśnienie terminów „główna działalność” oraz „duża skala” użytych w artykule 37 ogólnego rozporządzenia o ochronie danych osobowych będzie miało ogromne znaczenie dla praktyki realizacji tego przepisu.

Należy zaznaczyć, że państwa członkowskie Unii Europejskiej, w tym Polska, mają swobodę w zakresie ustanawiania przepisów krajowych nakładających dodatkowe wymogi dotyczące wyznaczenia inspektora ochrony danych. Wymogi w państwie członkowskim mogą przybierać bardziej restrykcyjne formy niż te określone w rozporządzeniu ogólnym.

Rozporządzenie ogólne o ochronie danych osobowych daje państwom członkowskim Unii Europejskiej możliwość ustalenia dodatkowych warunków, w których trzeba będzie wyznaczyć inspektora ochrony danych osobowych.