Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. XIII

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”

FUNKCJONOWANIE RODO cz. XIII

Co oznacza „duża skala przetwarzania” oraz „regularne i systematyczne monitorowanie” dla oceny obowiązku wyznaczenia IOD?

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych obligatoryjnie między innymi w sytuacji, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Pojęcia „duża skala przetwarzania” oraz „regularne i systematyczne monitorowanie” nie zostały zdefiniowane w RODO. Jak należy więc je rozumieć?

Duża skala przetwarzania

Przy przetwarzaniu danych osobowych na „dużą skalę” obowiązkiem jest powołanie IOD (Inspektora Ochrony Danych Osobowych). Obecnie nie jest możliwe wskazanie, jakie wartości obejmują „dużą skalę”, a jakie nie. Jednakże Grupa Robocza Art. 29 rozpowszechnia przykłady, dzięki którym łatwiejsze jest określenie z jaką skalą mamy do czynienia.

Przy definiowaniu powyższego stwierdzenia należy określić:

1. liczbę osób, których dane dotyczą - w skali liczbowej, bądź procentowej;

2. zakres przetwarzania danych osobowych;

3. okres, przez jaki dane będą przetwarzane;

4. zakres geograficzny przetwarzania danych.

Przykładami „dużej skali” są:

- przetwarzanie danych przez szpitale;

- przetwarzanie danych klientów przez banki bądź ubezpieczycieli;

- przetwarzanie danych geo-lokalizacyjnych klientów dużych sieci fast-food w celach statystycznych;

- przetwarzanie danych w celach reklamy behawioralnej przez wyszukiwarki.

Natomiast przetwarzaniem na „dużą skalę” nie jest:

- przetwarzanie danych pacjentów dokonywane przez jednego lekarza;

- przetwarzanie danych dotyczących wyroków bądź naruszeń prawa przez radcę prawnego bądź adwokata.

Regularne i systematyczne monitorowanie

Przez pojęcie „monitorowania zachowania osób, których dane dotyczą” rozumie się wszelaką formę śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych, zatem możliwe jest określenie, że regularne i systematyczne monitorowanie jest wszelaką formą śledzenia i profilowania, ale nie jest ograniczone jedynie do środowiska on-line.

Regularne” rozumieć można jako: stałe, bądź występujące w określonych odstępach czasu przez ustalony okres; cykliczne, bądź powtarzające się w określonym terminie.

Systematyczne” rozumieć można jako: odbywające się w ramach generalnego planu zbierania danych; występujące zgodnie z określonym systemem.

Przykłady: śledzenie lokalizacji; monitoring wizyjny; obsługa sieci oraz świadczenie usług teleinformatycznych; profilowanie i ocenianie dla celów ryzyka; reklama behawioralna; programy lojalnościowe; urządzenia skomunikowane; przekierowywanie poczty elektronicznej.

W razie jakichkolwiek pytań związanych z przedstawionym zakresem informacji, zapraszamy do kontaktu z Kancelarią!