Inspektor Ochrony Danych – cz. 1.

Przepisy Rozporządzenia ogólnego o ochronie danych osobowych, które będzie należało stosować od 25 maja 2018 r. (więcej o samym Rozporządzeniu znajdą Państwo TUTAJ), określają konieczność posiadania „nowego” ABI w kilku przypadkach. Niestety nie wszystkie zwroty użyte w tych przepisach są jasne i jednoznaczne (za wyjątkiem organów i podmiotów publicznych gdzie zawsze jest wymóg posiadania „nowego” ABI).

Dzisiaj chciałbym wyjaśnić co oznaczają zwroty w art. 37 ust. 1 pkt b „regularne i systematyczne monitorowanie osób, których dane dotyczą”, „główna działalność” i „dużą skalę”.

Ogólne Rozporządzenie o ochronie danych osobowych (dalej zwane Rozporządzeniem) nakazuje posiadanie „nowego” ABI między innymi w przypadku:

Art. 37 ust. 1 pkt b: „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;” 

Użyte sformułowanie „monitorowanie” nie ma definicji w Rozporządzeniu (podobnie jak „główna działalność” i „duża skala”) co powoduje, że należy brać pod uwagę każdą formę „monitorowania” osoby fizycznej. Od bardzo konkretnych sektorowych operacji np. punktacji dla celów oceny ryzyka na potrzeby oceny ryzyka kredytowego do klasycznego monitoringu wizyjnego.

Jednak nie każda firma, która ma przykładowo zainstalowany monitoring wizyjny będzie musiała mieć „nowego” ABI. Monitorowanie osoby fizycznej będzie musiało spełniać jeszcze jedną przesłankę- będzie musiało być główną działalnością tej firmy lub podmiotu, który otrzymał jej dane na podstawie umów powierzenia. Zwrot „główna działalność” należy rozumieć dosłownie, np. główną działalnością szpitala jest leczenie pacjentów, główną działalnością firmy produkcyjnej jest sprzedaż produkowanych rzeczy itd.

Automatycznie, wspomniany szpital będzie musiał mieć „nowego” ABI. Natomiast  przytoczona firma produkcyjna (np. posiadająca 500 pracowników) sprzedająca osobom prawnym i przedsiębiorcom swoje produkty już nie- zatrudnienie jest funkcją pomocniczą do „głównej działalności” firmy. 

Natomiast określenie „dużej skali” należy odnieść zawsze do konkretnej sytuacji biorąc pod uwagę np.:

  • ilość osób fizycznych korzystających z danej usługi/produktu itp.,
  • ilość kategorii danych danej osoby fizycznej,
  • sposób przetwarzania w odniesieniu do magazynowania danych (np. czy dane „trzymamy” dosłownie na chwilę, czy jednak musimy je zachować na parę lat do przodu).

Moim zdaniem, jeśli brać pod uwagę np. służbę zdrowia to szpital na pewno przetwarza dane na dużą skalę. Ale już niekoniecznie „duża  skala” będzie miała zastosowanie w przypadku np. indywidualnej praktyki lekarskiej (np. dentysta) prowadzonej w małym gabinecie przez jednego lekarza.

Z poważaniem,
Michał Geilke

 

 

 

Napisz komentarz/zapytanie

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

7 − 6 =