13 grudnia 2016 r. na posiedzeniu plenarnym Grupa Robocza Art. 29 przyjęła pierwsze wytyczne w zakresie interpretacji RODO odnośnie (1) Inspektora Ochrony Danych (aktualnie ABI), (2) prawa do przenoszenia danych (3) identyfikacji organu nadzorczego dla administratorów / procesorów w przypadku transgranicznego przetwarzania danych osobowych.
Ze względu na istotę wszystkich trzech wytycznych, ich omówieniu poświęcimy zdecydowanie więcej aniżeli jeden wpis. Wszystkie te dokumenty są cennymi wskazówkami dla przedsiębiorców mierzących się z wdrożeniem nowych wymogów prawnych.
Pierwszy dokument dotyczy nowego Administratora Bezpieczeństwa Informacji czyli Inspektora Ochrony Danych (DPO). Tekst wytycznych dostępny jest tutaj.
Przypomnijmy, że zgodnie z RODO administrator lub procesor mają obowiązek wyznaczyć DPO zawsze wtedy gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
W pierwszej kolejności pomocne będzie wyjaśnienie przez GR 29 podkreślonych powyżej sformułowań. Wielu przedsiębiorców zgłaszało swoje wątpliwości jak mają rozumieć pojęcia „głównej działalności” czy „dużej skali”.
GR 29 tłumaczy te pojęcia w następujący sposób:
Główna działalność – w pierwszej kolejności odesłano do motywu 97 RODO, zgodnie z którym: „W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.”
GR 29 zwróciła uwagę, że to pojęcie nie może być interpretowane wyłącznie wąsko, a jako przykład podano działalność szpitala, który przecież w głównej mierze zajmuje się udzielaniem opieki medycznej. Trudno jednak wyobrazić sobie działalność szpitala bez baz danych pacjentów i chociażby historii ich chorób. Według GR 29 w takim przypadku spełniony jest warunek „głównej działalności”.
Innym przywołanym przykładem jest firma ochroniarska, której główna działalność obejmuje ochronę osób i mienia. To zadanie powiązane jest w opinii GR 29 bardzo mocno z przetwarzanie danych osobowych i taki podmiot również powinien obligatoryjnie powołać Inspektora Ochrony Danych.
Duża skala – pojawia się podobnie jak „główna działalność” w przywołanym przepisie art. 37 RODO w dwóch przypadkach. Samo pojęcie nie jest zdefiniowane w RODO. Pewnych wytycznych interpretacyjnych dostarcza motyw 91 RODO: „o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia (…)”.
Według GR 29 przy ocenie czy mamy do czynienia z dużą skalą należy rozważyć:
- liczbę podmiotów danych, których dotyczy przetwarzanie;
- zakres danych lub zakres różnych elementów danych przetwarzanych;
- okres przetwarzania danych;
- geograficzny zasięg czynności przetwarzania.
Jako przykłady „dużej skali” wskazano:
- przetwarzanie danych osobowych pacjenta przez szpital;
- przetwarzanie danych osobowych osób korzystających ze środków publicznego transportu;
- przetwarzanie danych w czasie rzeczywistym o lokalizacji klientów międzynarodowej sieci fast foodów przez dostawcę takiej usługi;
- przetwarzanie danych osobowych przez banki i ubezpieczycieli;
- przetwarzanie danych osobowych dla reklamy behawioralnej przez wyszukiwarki internetowe;
- przetwarzanie danych osobowych (treść, ruch, lokalizacja) przez dostawcę / operatora usług internetowych / telefonicznych.
Jednocześnie podano dwa przykłady kiedy z „dużą skalą” możemy nie mieć do czynienia:
- przetwarzanie danych osobowych pacjentów przez prywatną praktykę lekarską;
- przetwarzanie danych osobowych dotyczących wyroków karnych i wykroczeń przez prawników prowadzących samodzielne praktyki.
GR 29 wskazała również na istotną kwestię mianowicie gdy to procesor będzie na podstawie RODO zobligowany do powołania DPO, to nie przekłada się na taki obowiązek automatycznie po stronie ADO. Wskazano jednak, że takie działanie byłoby dobrą praktyką.
Ale też pytanie czy jest się czym przejmować? Może lepiej poczekać na decyzję GIODO nakazującą wyznaczenie DPO?
Naruszenia przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego w zakresie wyznaczenia, zadań, kompetencji DPO (generalnie art. 37 – 39 RODO) podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa…
Analizując dalej przedstawiony przez GR 29 dokument, w kolejnym wpisie zajmiemy się wymaganiami i pozycją DPO w organizacji.
Warto pamiętać, że jakkolwiek wytyczne GR 29 są istotne dla ułatwienia zrozumienia i stosowania wymogów RODO, tak generalnie nie mają one charakteru wiążącego (nie stanowią i nie tworzą prawa).