Kiedy powołać IODO?

Jowita Kania-Stachura23 marca 2018Komentarze (0)

Szanowni Państwo!

Pomęczymy Państwa jeszcze trochę problematyką IODO i omówimy kolejny przypadek, w którym wyznaczenie takiej osoby jest bezwzględnie konieczne.

Zgodnie z art. 37 ust. 1 lit. b) RODO: „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy (…) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”.

Oznacza to, że wyznaczenie IODO staje się konieczne, w sytuacji, w której przetwarzanie danych charakteryzuje się dwoma elementami jednocześnie:

  • po pierwsze, główna działalność administratora lub procesora polega na regularnym i systematycznym monitorowaniu osób fizycznych
  • po drugie, skala tego monitorowania jest co najmniej duża.

Co to tak właściwie znaczy? Kiedy przetwarzanie danych jest główną działalnością administratora lub procesora?
Wydawać by się mogło, że mówiąc o głównej działalności, należy mieć na myśli o główny przedmiot działalności gospodarczej administratora. Gdyby tak było, to wówczas obowiązek wyznaczenia IODO spoczywałby wyłącznie na podmiotach, które mają wprost w PKD wskazane przetwarzanie danych jako przedmiot działalności. Byłby to więc dość wąski krąg podmiotów. Nic bardziej mylnego!

W motywie 97 RODO znajduje się wskazówka, mówiąca, iż „przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”.

Zgodnie z tą wskazówką przetwarzanie danych będzie główną działalnością administratora w sytuacji, w której bez wykonania tych czynności nie mógłby realizować istoty swojej pracy. Przykładowo, towarzystwo ubezpieczeniowe bez przetwarzania danych osobowych nie mogłoby zajmować się ubezpieczeniami i likwidowaniem szkód (byłoby to dla niego absolutnie niewykonalne), a firmy ochroniarskie bez prowadzenia monitoringu nie mogłyby skutecznie zapewniać bezpieczeństwa osób i mienia. Oznacza to, że pod pojęciem „głównej działalności” należy rozumieć nie tylko podstawową działalność danego administratora (lub podmiotu przetwarzającego), ale przede wszystkim działalność dla niego wyjątkowo istotną.

Staraliśmy się dzisiaj napisać krócej niż zwykle (bo dotarły do nas głosy, że trochę przynudzamy :-)), ale do tematyki IODO z pewnością wrócimy.

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Kania Stachura Toś Kancelaria Radców Prawnych Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Kania Stachura Toś Kancelaria Radców Prawnych z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem jowita.kania@kancelariakst.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: