Wskazane we wstępie pojęcie jest o tyle istotne, iż pozostaje kluczowe przy ocenie zasadności wyznaczenia inspektora ochrony danych (zgodnie z art. 37 ust. 1 lit b RODO) jak i przeprowadzenia oceny skutków dla ochrony danych (art. 35 ust. 3 RODO). Ponadto jego zrozumienie jest również istotne przy badaniu zasadności wyznaczania na terenie Unii Europejskiej swojego przedstawiciela przez administratora lub podmiot przetwarzający (art. 27 ust. 2 RODO).
Duża skala w świetle wytycznych grupy roboczej art. 29
Problem interpretacyjny „dużej skali przetwarzania” został dostrzeżony jeszcze przez Grupę Roboczą Art. 29, która swoje najszersze spostrzeżenia w tym zakresie zawarła w wytycznych dotyczących inspektorów ochrony danych, WP243 rev.01. Dokument wskazuje, że przy ocenie dużej skali powinniśmy uwzględnić następujące cechy:
- liczbę osób, których dane dotyczą,
- konkretną liczbę albo procent określonej grupy społeczeństwa,
- zakres przetwarzanych danych osobowych,
- okres, przez który dane są przetwarzane,
- zakres geograficzny przetwarzania danych osobowych.
Podejmując próbę doprecyzowania przywołanych wyżej przesłanek, Grupa Robocza Art. 29 wskazała następujące przykłady sytuacji, które należy traktować jako przetwarzanie danych na dużą skalę:
- przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności,
- przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich),
- przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych,
- przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,
- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Samo RODO również podaje pewne wskazówki dotyczące rozumienia pojęcia „dużej skali przetwarzania”. Zgodnie z 91 motywem preambuły Rozporządzenia, przetwarzanie nie powinno być uznawane za dokonywane na dużą skalę, jeżeli dotyczy przetwarzania danych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.
Przedstawione wskazówki często nie udzielają bezpośredniej odpowiedzi na pytanie, czy mamy do czynienia z dużą skalą przetwarzania? Jak zatem na to wszystko zapatrują się organy nadzorcze?
Duża skala w opinii europejskich organów nadzorczych
Prezes UODO nie przedstawił własnej interpretacji omawianego pojęcia. Polski organ nadzorczy, odwołuje się w swych wystąpieniach do przywołanych we wcześniejszej części artykułu wytycznych Grupy Roboczej Art. 29. Analizując Komunikat Prezesa UODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony możemy jednak natknąć się na przykład takiej sytuacji. W przywołanym dokumencie wskazano, że kryterium przetwarzania danych osobowych na dużą skalę może dotyczyć następujących obszarów:
- centralnych systemów: informacji oświatowej, informacji w szkolnictwie wyższym, obsługi ubezpieczeń komunikacyjnych, kwalifikacji zawodowych itp.,
- portali społecznościowych, przeglądarek internetowych, dostawców usług telewizji kablowej, serwisów subskrypcyjnych z filmami i programami telewizyjnymi dostępnymi na urządzeniach z dostępem do Internetu.
Niektóre europejskie organy nadzorcze poszły jednak o krok dalej, niż Prezes UODO, przedstawiając swoje, bardziej szczegółowe interpretacje omawianego zagadnienia. Punktem wyjścia w większości jest określona liczba osób, których dotyczy przetwarzanie danych osobowych. Poniżej przedstawiono zestawienie dostępnych interpretacji europejskich organów nadzorczych:
Organ nadzorczy
|
Interpretacja „dużej skali przetwarzania”
|
|
|
|
|
|
|
|
|
|
|
|
|
Warto odnotować, że przywołane stanowiska uwzględniają wielkość populacji poszczególnych krajów. Oznacza to, że nie byłoby wskazane, aby wprost przekładać je na polskie realia. Przykładowo, estoński próg 50 000 osób to nieco poniżej 4 procent populacji kraju, podczas gdy w Niemczech próg ten wynosi nieco ponad 6 procent, a w Czechach 0,01 procent populacji. Idąc dalej, przekładając wytyczne czeskiego organu nadzorczego na grunt polski i biorąc pod uwagę różnicę w liczbie ludności obu krajów, można postawić tezę, że o dużej skali przetwarzania mówilibyśmy w przypadku, w którym czynności związane z przetwarzaniem podejmowane są przez około 70 pracowników administratora lub podmiotu przetwarzającego.
Wytyczne poszczególnych organów nadzorczych mogą zatem stanowić cenny argument w czasie rozważań nad tym, czy w określonym procesie , + dane są przetwarzane na dużą skalą czy też nie.