Dr RODO - Diagnozuj zgodność   Sprawdź        

Problematyka pojęć nieostrych w RODO
duża skala przetwarzania danych

Problematyka pojęć nieostrych w RODO

RODO zawiera wiele pojęć budzących wątpliwości interpretacyjne. Pogłębiane z każdym dniem doświadczenie w stosowaniu przepisów rozporządzenia, niejednokrotnie nie pomaga w ich zrozumieniu. Powodem tego stanu rzeczy jest ich nieostrość – co też tłumaczone jest często jako zabieg celowy. Niniejszy artykuł stanowić będzie próbę przybliżenia rozumienia pojęcia „dużej skali przetwarzania danych osobowych” z uwzględnieniem dotychczasowych opinii europejskich organów nadzorczych.

 Wskazane we wstępie pojęcie jest o tyle istotne, iż pozostaje kluczowe przy ocenie zasadności wyznaczenia inspektora ochrony danych (zgodnie z art. 37 ust. 1 lit b RODO) jak i przeprowadzenia oceny skutków dla ochrony danych (art. 35 ust. 3 RODO). Ponadto jego zrozumienie jest również istotne przy badaniu zasadności wyznaczania na terenie Unii Europejskiej swojego przedstawiciela przez administratora lub podmiot przetwarzający (art. 27 ust. 2 RODO).

Duża skala w świetle wytycznych grupy roboczej art. 29

Problem interpretacyjny „dużej skali przetwarzania” został dostrzeżony jeszcze przez Grupę Roboczą Art. 29, która swoje najszersze spostrzeżenia w tym zakresie zawarła w wytycznych dotyczących inspektorów ochrony danych, WP243 rev.01. Dokument wskazuje, że przy ocenie dużej skali powinniśmy uwzględnić następujące cechy:

  • liczbę osób, których dane dotyczą,
  • konkretną liczbę albo procent określonej grupy społeczeństwa,
  • zakres przetwarzanych danych osobowych,
  • okres, przez który dane są przetwarzane,
  • zakres geograficzny przetwarzania danych osobowych.

Podejmując próbę doprecyzowania przywołanych wyżej przesłanek, Grupa Robocza Art. 29 wskazała następujące przykłady sytuacji, które należy traktować jako przetwarzanie danych na dużą skalę:

  • przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności,
  • przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich),
  • przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych,
  • przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności,
  • przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki,
  • przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Samo RODO również podaje pewne wskazówki dotyczące rozumienia pojęcia „dużej skali przetwarzania”. Zgodnie z 91 motywem preambuły rozporządzenia, przetwarzanie nie powinno być uznawane za dokonywane na dużą skalę, jeżeli dotyczy przetwarzania danych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Dr RODO

Przedstawione wskazówki często nie udzielają bezpośredniej odpowiedzi na pytanie, czy mamy do czynienia z dużą skalą przetwarzania? Jak zatem na to wszystko zapatrują się organy nadzorcze?

Duża skala okiem europejskich organów nadzorczych

Prezes UODO nie przedstawił własnej interpretacji omawianego pojęcia. Polski organ nadzorczy, odwołuje się w swych wystąpieniach do przywołanych we wcześniejszej części artykułu wytycznych Grupy Roboczej Art. 29. Analizując Komunikat Prezesa UODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony możemy jednak natknąć się na przykład takiej sytuacji. W przywołanym dokumencie wskazano, że kryterium przetwarzania danych osobowych na dużą skalę może dotyczyć następujących obszarów:

  • centralnych systemów: informacji oświatowej; informacji w szkolnictwie wyższym; obsługi ubezpieczeń komunikacyjnych; kwalifikacji zawodowych itp.,
  • portali społecznościowych, przeglądarek internetowych, dostawców usług telewizji kablowej, serwisów subskrypcyjnych z filmami i programami telewizyjnymi dostępnymi na urządzeniach z dostępem do Internetu.

Niektóre europejskie organy nadzorcze poszły jednak o krok dalej niż Prezes UODO, przedstawiając swoje, bardziej szczegółowe interpretacje omawianego zagadnienia. Punktem wyjścia w większości jest określona liczba osób, których dotyczy przetwarzanie danych osobowych. Poniżej przedstawiono zestawienie dostępnych interpretacji europejskich organów nadzorczych:

Organ

Interpretacja „dużej skali przetwarzania”


Estoński organ nadzorczy:
Andmekaitse Inspektsioon

 

  • Przetwarzanie szczególnych kategorii danych osobowych i / lub danych związanych z wyrokami skazującymi i przestępstwami -
    próg wynosi 5000 osób.
  • Przetwarzanie: w przypadku przetwarzania danych związanych z usługami finansowymi i płatniczymi; cyfrowe usługi zaufania, takie jak podpisy elektroniczne; a także dane komunikacyjne; dane geolokalizacyjne w czasie rzeczywistym; oraz dane związane z profilowaniem ze skutkiem prawnym –
    próg wynosi 10 0000 osób
    .
  • Przetwarzanie pozostałych kategorii danych osobowych- próg wynosi 50 0000 osób.


Holenderski organ nadzorczy:
Autoriteit Persoonsgegevens

 

  • Przetwarzanie danych przez: szpitale, apteki, ośrodki zdrowia jest zawsze traktowane jako proces na dużą skalę.
  • Przetwarzanie danych w mniejszych gabinetach lekarskich lub przez farmaceutów pracujących indywidualnie, oraz przetwarzanie w specjalistycznych ośrodkach opieki medycznej, przetwarzanie danych odbywa się na dużą skalę, jeśli w przychodni zarejestrowanych jest ponad 10 000 pacjentów.


Czeski organ nadzorczy:
Urad pro ochranu osobnich udaju


Przetwarzanie danych powyżej 10 000 osób, uznaje się za dużą skalę. Przetwarzanie przez więcej niż 20 pracowników (20 processing branches) jest uważane
za dużą skalę
.



Niemiecki organ nadzorczy:
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit


Duża skala to przetwarzanie danych obejmujące ponad 5 milionów osób lub obejmujące co najmniej 40 procent odpowiedniej populacji.


Warto odnotować, że przywołane stanowiska uwzględniają populacje poszczególnych krajów. Oznacza to, że nie byłoby wskazanym, aby wprost przekładać je na polskie realia. Przykładowo, estoński próg 50 000 osób to nieco poniżej 4 procent populacji kraju, podczas gdy w Niemczech próg ten wynosi nieco ponad 6 procent, a w Czechach 0,01 procent populacji. Idąc dalej, przekładając wytyczne czeskiego organu nadzorczego na grunt polski i biorąc pod uwagę różnicę w liczbie ludności obu krajów, można postawić tezę, że o dużej skali przetwarzania mówilibyśmy w przypadku, w którym czynności związane z przetwarzaniem podejmowane są przez (≈) 70 pracowników administratora lub podmiotu przetwarzającego.

Wytyczne poszczególnych organów nadzorczych mogą zatem stanowić cenny argument w czasie rozważań nad tym czy w określonym procesie, dane są przetwarzane na dużą skalą czy też nie.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. Łukasz Pociecha
15 października 2020

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się