Rozporządzenie unijne przesłanki wyznaczenia inspektora ochrony danych osobowych (DPO) cz. II

W ostatnim wpisie rozpoczęłam omawianie zagadnień związanych z inspektorem danych osobowych (DPO) czyli dotychczasowym znanym polskiemu prawu ABI. Jest to zagadnienie i dość szerokie i nie do końca oczywiste w świetle przepisów nowego rozporządzenie stąd potrzeba wyjaśnień oraz interpretacji.

W świetle nowych przepisów administratorzy danych osobowych nie mają bezwzględnego obowiązku powołania DPO, jednak każdorazowo muszą przeanalizować czy w ich przypadku nie zachodzą jednak przesłanki wskazujące na konieczność powołania ABI.

Rozporządzenie wprowadza obowiązek wyznaczenia DPO, jeśli przetwarzanie danych osobowych prowadzone jest na szeroką skalę i dotyczy działalności polegającej na regularnym i systematycznym monitorowaniu osób. Drugi przypadek to przetwarzanie na dużą skalę danych osobowych szczególnie chronionych. Przepisy nie definiują co oznacza szeroka skala przetwarzania.

Przy ustalaniu  czy przetwarzanie jest prowadzane na szeroką skalę należy wziąć pod uwagę następujące czynniki a w szczególności należy uwzględnić:

  • liczbę osób, których dane dotyczą
  • ilość danych i / lub zakres różnych danych
  • czas trwania lub trwałość procesów przetwarzania danych
  • zakres geograficzny procesów przetwarzania

Ciekawe przykłady przetwarzania na szeroką skalę to:

  • przetwarzanie danych pacjenta w toku zwykłej działalności przez szpital
  • przetwarzanie danych klienta w toku zwykłej działalności przez towarzystwo ubezpieczeniowe lub bank
  • przetwarzanie danych osobowych do celów reklamy behawioralnej przez wyszukiwarkę
  • przetwarzanie danych (zawartość, ruch, lokalizacja) przez dostawców usług telefonicznych lub internetowych

A przykłady, które nie stanowią przetwarzania na dużą skalę to:

  • przetwarzanie danych pacjenta przez indywidualnego lekarza
  • przetwarzanie danych osobowych dotyczących wyroków karnych i wykroczeń przez indywidualnego prawnika

Jak widać brakuje wskazówek co do dokładnej liczby w odniesieniu do ilości przetwarzanych danych lub liczby osób, które będą mogły być stosowane w każdej sytuacji. To nie wyklucza jednak, że w miarę upływu czasu może się rozwinąć standardowa praktyka, która określi pod względem ilościowym, co stanowi “dużą skalę” w odniesieniu do niektórych rodzajów wspólnych działalności przetwarzania danych.

W każdym razie organy doradcze  na poziomie unijnym  planują również przyczynić się do tego rozwoju, na zasadzie udostępniania i rozpowszechniania przykładów odpowiednich progów dla wyznaczenia inspektora ochrony danych.

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Poprzedni wpis:

Następny wpis: