Duża skala przetwarzania danych – co to znaczy i dlaczego jest takie istotne
To, że administrator przetwarza dane osobowe w „dużej skali” ma bardzo istotne znaczenie w kontekście jego obowiązków. Od tego zależy bowiem istnienie obowiązku wyznaczenia inspektora ochrony danych. Przetwarzanie danych osobowych w „dużej skali” stanowi również przesłankę obligatoryjnego przeprowadzenia oceny skutków dla ochrony danych. Kiedy mamy do czynienia z wielkoskalowym przetwarzaniem danych?
Z tematu tygodnia dowiesz się:
- jak interpretować pojęcie przetwarzania danych „w dużej skali”
- w jakich przypadkach dochodzi do wielkoskalowego przetwarzania danych obligującego do przeprowadzenia oceny skutków dla ochrony danych,
- kiedy z uwagi na przetwarzanie danych w dużej skali konieczne jest wyznaczenie IOD,
- w jakich sytuacjach nie dochodzi do wielkoskalowego przetwarzania danych.
Wielkoskalowe przetwarzanie danych w przepisach RODO
Choć od wejścia w życie RODO minęło już ponad 7 miesięcy, to jednak nadal interpretacja rozporządzenia rodzi wiele wątpliwości i pytań. Tym bardziej, że RODO posługuje się licznymi pojęciami nieostrymi, m.in. pojęciem „dużej skali” przetwarzania danych osobowych. Pojęcie to pojawia się w art. 35 ust. 3 lit. b i c oraz w art. 37 ust 1 lit b i c RODO. Przetwarzanie danych osobowych szczególnej kategorii w dużej skali stanowi przesłankę istnienia obowiązku wyznaczenia inspektora ochrony danych. Poza tym wielkoskalowe przetwarzanie szczególnych kategorii danych osobowych obliguje administratora do przeprowadzenia oceny skutków dla ochrony danych.
Ocena skutków dla ochrony danych jest wymaga szczególnie wówczas, gdy dochodzi przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 35 ust. 3 lit. b RODO).
Z kolei, jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, wówczas ma on obowiązek wyznaczenia inspektora ochrony danych (art. 37 ust. 1 lit. c RODO).
Przetwarzanie danych na dużą skalę w kontekście DPIA …
RODO wprawdzie nie definiuje pojęcia „dużej skali” przetwarzania danych. Zawiera jednak pewne przydatne wskazówki interpretacyjne. Otóż w motywie 91 RODO wskazano, iż operacje przetwarzania o dużej skali to takie operacje, które mają służyć przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym i ponadnarodowym i które mogą mieć wpływ na dużą liczbę osób, których dane dotyczą, oraz które mogą spowodować wysokie ryzyko na przykład (ze względu na swój szczególny charakter), gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia – oraz do innych operacji przetwarzania powodujących wysokie ryzyko naruszenia praw lub wolności osób, w szczególności gdy operacje te utrudniają osobom, których dane dotyczą, wykonywanie przysługujących im praw. Co istotne, powyższe rozwiązanie dotyczy wyłącznie oceny skutków dla ochrony danych. Trudno więc odnosić je do przesłanki wielkoskalowego przetwarzania danych w kontekście obowiązku wyznaczenia IOD.
Odpowiadając na pytanie, czy w danym przypadku konieczne jest przeprowadzenie oceny skutków dla ochrony danych administrator powinien więc:
- ocenić, na jakim szczeblu dochodzi do przetwarzania danych (ryzyko związane z przetwarzaniem danych poza obszarem EOG jest bowiem inne niż w przypadku przetwarzania danych wewnątrz obszaru),
- baczyć na to, czy ewentualne naruszenia bezpieczeństwa bądź przepisów RODO wpłynie na dużą liczbę osób i ich prawa oraz wolności.
Spółka przetwarza następujące dane osobowe swoich klientów w liczbie ok. 1000: imię, nazwisko, dane teleadresowe, wiek, płeć oraz dane karty kredytowej (numer, data ważności, kod CVV). W przypadku ok. 600 klientów spółka przetwarza również ich dane osobowe szczególnych kategorii a mianowicie dane o stanie zdrowia. Co do zasady dane osobowe są przetwarzane w kraju, z wyjątkiem danych o stanie zdrowia, które przetwarzane są w chmurze na terytorium EOG. Jeden z poddostawców, który ma dostęp do tych danych, ma jednak swoją siedzibę poza EOG.
Przede wszystkim należy rozważyć, czy przetwarzanie jest w tym przypadku związane z główną działalnością administratora. Musimy odpowiedzieć na pytanie, czy dane osobowe są jedynie przechowywane, czy też spółka wykonuje w związku z nimi inne czynności, w szczególności analizuje, ocenia, tworzy raporty, kieruje korespondencję do osób fizycznych czy wykonuje transakcje za pośrednictwem kart. Istotne jest również to, czy są to dane pewnej określonej grupy osób, czy też losowe. Wyjaśnienia wymaga także kwestia poziomu zabezpieczenia danych. Oceniając dużą skalę przetwarzania danych musimy więc zawsze spojrzeć na całokształt procesów przetwarzania danych.
Warto przy tym brać pod uwagę planowane zmiany, jeżeli o nich wiemy i na pewno wydarzą się w najbliższej przyszłości. Gdyby więc spółka w najbliższej przyszłości przetwarzała np. dane osobowe członków rodzin lub dane biometryczne klientów, wówczas mielibyśmy do czynienia z wielkoskalowym przetwarzaniem danych osobowych. Jeżeli zaś spółka jedynie przechowuje dane osobowe i nie planuje żadnych zmian, a dostęp do nich tylko przeszkolony administrator serwera, zaś spółka wdrożyła wszelkie niezbędne środki organizacyjno-techniczne, aby zapewnić bezpieczeństwo danych, zweryfikowała dostawców usług, wówczas przetwarzanie danych na dużą skalę nie ma miejsca.
… a także wyznaczenia IOD
Jak zatem rozumieć przetwarzanie danych na dużą skalę w kontekście obowiązku powołania IOD? Wobec braku wyjaśnień w samym RODO warto zwrócić uwagę na wytyczne Grupy Roboczej art. 29 - 16/EN WP243, przyjęte w dniu 13 grudnia 2016 r.
Otóż w punkcie 2.1.3. wytycznych wskazane zostały czynniki, które należy uwzględnić w ocenie, czy dochodzi do przetwarzania na "dużą skalę”:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
- zakres przetwarzanych danych osobowych,
- okres, przez jaki dane są przetwarzane,
- zakres geograficzny przetwarzania danych osobowych.
Wskazane przez Grupę Roboczą art. 29 przykłady działalności z wielkoskalowym przetwarzaniem danych:
- przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
- przetwarzanie danych dotyczących podroży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’);
- przetwarzanie danych geo-lokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
- przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
W takim przypadkach obowiązkowe jest wyznaczenie inspektora ochrony danych.
W przedstawionym zakresie do wytycznych należy podchodzić ze szczególną ostrożnością. Mimo, że dotyczą one inspektorów ochrony danych, to jednak pojęcie „dużej skali” zinterpretowano przez pryzmat art. 35 RODO, a więc w związku z oceną skutków dla ochrony danych. W ocenie autora ich zastosowanie w kontekście obowiązku wyznaczenia IOD jest kontrowersyjne.
Przykłady przedstawione przez Grupę Roboczą są dość oczywiste, ponieważ dotyczą przede wszystkim dużych przedsiębiorstw, bardzo dużej ilości danych osobowych, a także wykorzystywania technologii (zarówno tradycyjne jak i najnowsze rozwiązania). Są to jednak jedynie przykłady, co nie uprawnia do stwierdzenia, że każda inna działalność, niezbliżona do wyżej wymienionych, nie wiąże się z przetwarzaniem danych osobowych na dużą skalę. W ocenie autora z przetwarzaniem wielkoskalowym mamy bowiem do czynienia np. w przypadku prowadzenia portali społecznościowych, aukcyjnych, a także dużych lub międzynarodowych sklepów internetowych.
Kiedy nie dochodzi do wielkoskalowego przetwarzania danych
W motywie 91 RODO wskazano również dwa przypadki, które nie będą uznawane za przetwarzanie danych osobowych w dużej skali, a mianowicie:
- przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia,
- przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez prawnika.
Analogiczne spostrzeżenie w odniesieniu do wyznaczenia inspektora ochrony danych możemy odnaleźć w wytycznych Grupy Roboczej art. 29.
Jak już wskazano, warto podchodzić do wytycznych ze szczególną ostrożnością. W ocenie autora wytyczne w tym zakresie nie zasługują bowiem na uwzględnienie. Wprawdzie lekarz nie musi wykonać oceny skutków przetwarzania dla ochrony danych, niemniej jednak nie oznacza to, że proces przetwarzania przez niego danych osobowych nie powinien być kontrolowany przez inspektora ochrony danych. Skoro lekarz w trakcie swojej działalności zgromadził dane szczególnej kategorii od wielu tysięcy pacjentów i przechowuje te dane na prywatnym komputerze, to ryzyko naruszenia bezpieczeństwa danych może być bardzo wysokie.
- Personel musi dbać o ochronę danych osobowych pacjentów w dokumentacji medycznej
- RODO a umowa serwisowa - kiedy konieczna umowa powierzenia przetwarzania danych osobowych
- Kary RODO za naruszenia ochrony danych - przegląd orzeczeń zagranicznych organów nadzorczych
- Jak zrealizować obowiązek informacyjny RODO mikroprzedsiębiorców
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
