Rozmowa z szerokopasmowa.pl

Jowita Kania-Stachura07 maja 2018Komentarze (0)

Szanowni Państwo!
Pan Mecenas Michał Ziółko prowadzący bloga szerokopasmowa.pl, zwrócił się do nas o odpowiedź na kilka pytań dotyczących obowiązków związanych z wdrożeniem RODO przez operatorów ISP. Trochę się rozgadaliśmy (jak zwykle) i wyszedł z tego całkiem pokaźny wywiad. Zainteresowanych tematem odsyłam do http://szerokopasmowa.pl/

Nowy wpis u nas już wkrótce. Tym razem będzie o deweloperach.

Pozdrawiamy

IODO, a duża skala.

Jowita Kania-Stachura30 kwietnia 2018Komentarze (0)

Szanowni Państwo!
Pewnie większość z Państwa cieszy się słońcem na majówce, ale jeśli znudzi Państwa ta sielanka, zawsze można zerknąć  co tam na naszym blogu i połączyć przyjemne z pożytecznym :-).

W dzisiejszym wpisie o ostatniej przesłance obligatoryjnego wyznaczenia Inspektora Ochrony Danych Osobowych. Zgodnie z art. 37 ust. 1 lit. c) RODO, Inspektor powinien zostać wyznaczony, jeżeli „główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO”.

Jakie dane są danymi szczególnymi, mniej więcej wiadomo. Kiedy jednak przetwarzanie tych danych jest prowadzone na dużą skalę? Jak taką skalę wyznaczyć, co rozumieć przez to sformułowanie i czy do jej wyznaczenia potrzebny jest kalkulator? Oczywiście odpowiedzi na te i wiele innych pytań nie sposób znaleźć w tekście samego RODO. Pewną wskazówkę interpretacyjną tego nieostrego pojęcia stanowi motyw 91, zgodnie z którym „operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika”.

Wyznaczanie IODO nie jest więc konieczne w sytuacji przetwarzania danych przez jednego lekarza lub prawnika, a jak lekarzy lub prawników jest pięciu? Żeby było trudniej Grupa Robocza w Art. 29 podkreśliła, że nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby dużą skalę, dlatego przy analizowaniu pojęcia przetwarzania na dużą skalę powinno się uwzględniać kilka elementów:

  • liczbę osób, których dane są przetwarzane,
  • zakres przetwarzanych danych osobowych,
  • obszar, na którym dane są przetwarzane,
  • czas, przez jaki są przetwarzane.

Jeśli chodzi o kryterium liczby osób, których dane są przetwarzane, wskazać należy, że może ono odnosić się zarówno do konkretnie określonej liczby jak i też do procentu grupy w stosunku do określonej części społeczeństwa. Jeśli przetwarzanie danych ma charakter wyłącznie regionalny, przesłankę dużej skali będą wypełniały dane mniejszej liczby osób niż w sytuacji, gdy ma ono charakter międzynarodowy.

Oznacza to, że jeżeli działamy na stosunkowo niewielkim obszarze, przykładowo wyłącznie w Krakowie, ale przetwarzamy dane znacznej części mieszkańców tego miasta, to zapewne spełniamy przesłankę dużej skali. Istotne dla oceny, czy przetwarzanie danych spełnia ten warunek, są również ilość i zakres danych, które są przetwarzane przez administratora lub procesora, podobnie jak okres, przez jaki dane osobowe będą przetwarzane. Dla oceny dużej skali większe znaczenie będzie miało przetwarzanie przez dłuższy czas niż przetwarzanie sporadyczne.

Czynnikiem, który należy także uwzględnić przy ocenie dużej skali, jest obszar, na którym następować będzie przetwarzanie danych – im większe terytorium, tym większa liczba danych będzie podstawą uznania, że przetwarzanie odbywa się na dużą skalę.

Jeżeli więc będą się Państwo zastanawiać, czy dochodzi do przetwarzania danych na dużą skalę, proszę zadać sobie serię pytań: czy przetwarzam dane wielu osób, czy przetwarzam dane na znacznym obszarze, czy przetwarzam dane dłuższy czas, czy przetwarzam dane znacznej części danej kategorii osób? Jeżeli na większość z nich odpowiedź brzmi „tak” oraz są to dane szczególne, to zapewne będą Państwo zobowiązani wyznaczyć IODO.

Jeszcze o IODO!

Jowita Kania-Stachura23 kwietnia 20184 komentarze

Szanowni Państwo!

Po ostatnim wpisie dotyczącym IODO Kiedy powołać IODO, w którym rozwodziliśmy się nad tym, że obowiązek powołania IODO dotyczy podmiotów, których główna działalność polega na administrowaniu lub przetwarzaniu danych, dostaję wiadomości od osób prowadzących biura rachunkowe, doradców podatkowych, komorników i notariuszy. Wszyscy pytają o jedno – mamy powoływać IODO? Odpowiemy tak jak prawnicy lubią najbardziej … to zależy.

Oczywiście wszystkie wskazane podmioty zajmują się przetwarzaniem danych osobowych osób fizycznych i  bez tego przetwarzania ich praca stałaby się niemożliwa. Można by więc rzec, że przetwarzanie danych jest ich główną działalnością. Nie oznacza to jednak, że muszą wyznaczać IODO.

Kluczem do ustalenia, czy powoływać IODO czy nie, jest uważna lektura art. 37 ust. 1 lit. b) RODO. Otóż, aby powstał obowiązek powołania IODO główna działalność administratora lub podmiotu przetwarzającego, musi dodatkowo polegać na wykonywaniu operacji, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Na czym więc polega ów regularne i systematyczne monitorowanie na dużą skalę, które powodowałoby konieczność spełnienia kolejnych wymagań RODO?

Jak zwykle prawodawca europejski nie zdefiniował tych wyrażeń wprost w przepisach powszechnie obowiązujących. Wskazał wyłącznie w motywie 24 RODO, iż: „pojęcie monitorowani obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych”. Oznacza to, że monitorowanie obejmuje każdą czynność śledzenia i profilowania prowadzoną zarówno w Internecie, ale również poza nim. Z sytuacjami monitorowania spotykamy się stosunkowo często, na przykład wtedy, gdy jednego dnia szukamy w sieci wymarzonego odkurzacza na prezent urodzinowy dla teściowej, a następnego pojawiają się nam na ekranie komputera, przy okazji buszowania w sieci, wyłącznie reklamy AGD. Monitorowaniem będzie więc każde działanie przedsiębiorcy polegające na śledzeniu, badaniu i analizowaniu zachowań osoby fizycznej.

Ponadto, mówiąc o regularnym i systematycznym monitorowaniu, należy mieć na myśli przetwarzanie danych osób obserwowanych, następujące w regularnych odstępach czasu lub prowadzone w sposób ciągły w oparciu o jakiś system, plan i zgodnie z określoną metodologią. Działalność danego podmiotu będzie miała przymiot regularności, jeżeli polega na wykonywaniu czynności stałych albo występujących w określonych odstępach czasu przez ustalony okres, cyklicznych albo powtarzających się w określonym czasie stale lub okresowo. Natomiast systematyczne monitorowanie to działania występujące zgodnie z określonym systemem, zaaranżowane, zorganizowane lub metodyczne, odbywające się w ramach generalnego planu zbierania danych, przeprowadzone w ramach określonej strategii.

Jakie to ma znaczenie dla wspomnianych biur rachunkowych i innych wyżej wymienionych podmiotów? Otóż takie, że na ogół trudno dopatrzyć się w ich działalności okoliczności powodujących, że spoczywałby na nich obowiązek wyznaczenia IODO.

W takiej sytuacji możecie więc Państwo odetchnąć i skupić się na innych aspektach przygotowania do RODO.

Kiedy powołać IODO?

Jowita Kania-Stachura23 marca 2018Komentarze (0)

Szanowni Państwo!

Pomęczymy Państwa jeszcze trochę problematyką IODO i omówimy kolejny przypadek, w którym wyznaczenie takiej osoby jest bezwzględnie konieczne.

Zgodnie z art. 37 ust. 1 lit. b) RODO: „Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy (…) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”.

Oznacza to, że wyznaczenie IODO staje się konieczne, w sytuacji, w której przetwarzanie danych charakteryzuje się dwoma elementami jednocześnie:

  • po pierwsze, główna działalność administratora lub procesora polega na regularnym i systematycznym monitorowaniu osób fizycznych
  • po drugie, skala tego monitorowania jest co najmniej duża.

Co to tak właściwie znaczy? Kiedy przetwarzanie danych jest główną działalnością administratora lub procesora?
Wydawać by się mogło, że mówiąc o głównej działalności, należy mieć na myśli o główny przedmiot działalności gospodarczej administratora. Gdyby tak było, to wówczas obowiązek wyznaczenia IODO spoczywałby wyłącznie na podmiotach, które mają wprost w PKD wskazane przetwarzanie danych jako przedmiot działalności. Byłby to więc dość wąski krąg podmiotów. Nic bardziej mylnego!

W motywie 97 RODO znajduje się wskazówka, mówiąca, iż „przetwarzanie danych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności”.

Zgodnie z tą wskazówką przetwarzanie danych będzie główną działalnością administratora w sytuacji, w której bez wykonania tych czynności nie mógłby realizować istoty swojej pracy. Przykładowo, towarzystwo ubezpieczeniowe bez przetwarzania danych osobowych nie mogłoby zajmować się ubezpieczeniami i likwidowaniem szkód (byłoby to dla niego absolutnie niewykonalne), a firmy ochroniarskie bez prowadzenia monitoringu nie mogłyby skutecznie zapewniać bezpieczeństwa osób i mienia. Oznacza to, że pod pojęciem „głównej działalności” należy rozumieć nie tylko podstawową działalność danego administratora (lub podmiotu przetwarzającego), ale przede wszystkim działalność dla niego wyjątkowo istotną.

Staraliśmy się dzisiaj napisać krócej niż zwykle (bo dotarły do nas głosy, że trochę przynudzamy :-)), ale do tematyki IODO z pewnością wrócimy.

Kto ma powołać IODO?

Jowita Kania-Stachura12 marca 2018Komentarze (0)

Szanowni Państwo!

W ostatnim wpisie rozpoczęliśmy analizę nowych uregulowań dotyczących IODO (Inspektora Ochrony Danych osobowych). Dzisiaj ciąg dalszy. Oddaję głos Piotrowi Potockiemu.

Niewątpliwie najistotniejszą kwestią z Państwa punktu widzenia, jest pytanie, kto będzie musiał wyznaczyć IODO? Zostało to uregulowane w art. 37 ust. 1 RODO, którego brzmienie pozwolę sobie ponownie przywołać.

„Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.

Podkreślenia, które widzą Państwo w tekście nie są przypadkowe. Sygnalizują one kluczowe kwestie (które po kolei będziemy omawiać), od których zależy obowiązek lub brak obowiązku powołania IODO.

W pierwszej kolejności trzeba jednoznacznie stwierdzić, że art. 37 ust. 1 RODO zawiera katalog przypadków, w których administrator i podmiot przetwarzający muszą wyznaczyć IODO. Spójnik „i” należy interpretować w ten sposób, że obowiązek ten obciąża i administratora i podmiot przetwarzający (procesora). Innymi słowy nie wystarczy jeden IODO „na spółkę” tylko każdy z tych podmiotów musi powołać swojego IODO zawsze wtedy, gdy spełnione są przesłanki z art. 37 ust. 1lit. a – c. RODO.

Po pierwsze, administrator lub podmiot przetwarzający zobowiązany jest wyznaczyć IODO jeżeli jest organem lub podmiotem publicznym. Część z Państwa odetchnęła teraz z ulgą. Proszę jednak doczytać do końca bo pojęcie podmiotu publicznego jest bardzo pojemne.

Przepisy samego RODO nie formułują definicji organów lub podmiotów publicznych, dlatego dla ich wskazania należy odwołać się do ustaw krajowych i to na ich podstawie stwierdzić, że organami publicznymi będą te wymienione w art. 5 § 2 pkt 3 k.p.a., a więc ministrowie, centralne organy administracji rządowej, wojewodowie, inne terenowe organy zespolonej i niezespolonej administracji rządowej, organy jednostek samorządu terytorialnego oraz inne organy i podmioty powołane z mocy prawa albo na podstawie porozumień do załatwiania należących do ich właściwości spraw indywidualnych rozstrzyganych w drodze decyzji administracyjnych.

Z kolei pod pojęciem podmioty publiczne należy rozumieć podmioty wskazane w art. 9 pkt 1–14 ustawy o finansach publicznych oraz inne podmioty, którym podmiot publiczny powierzył lub zlecił realizację zadania publicznego, jeżeli w związku z realizacją tego zadania przetwarzają dane osobowe. Oznacza to, że IODO muszą powołać na przykład biblioteki publiczne, samodzielne zakłady opieki zdrowotnej, domy kultury, czy uniwersytety. Nie ma tutaj znaczenia wielkość danej jednostki, czy ilość, zakres i rodzaj danych, które przetwarza. Wystarczy, że jest podmiotem lub organem publicznym.

Nie jest to jednak wszystko. Zgodnie z wytycznymi organów zajmujących się opracowaniem RODO, wyznaczyć IODO powinny również podmioty prywatne wykonujące zadania z zakresu administracji publicznej. Powyższe oznacza, że obowiązek ten spoczywa także na przedsiębiorcy, który funkcjonuje w gałęziach gospodarki służących zaspokajaniu w sposób masowy istotnych i powszechnych potrzeb ludności. Jedyną przesłanką kwalifikującą podmiot do wyznaczania IODO jest więc tak naprawdę wykonywanie zadań publicznych. Obowiązek ten będzie spoczywał przede wszystkim na przedsiębiorcach funkcjonujących w branżach, które w przeszłości były objęte monopolem państwowym lub które tradycyjnie były identyfikowane z działalnością państwa. Przeważnie tymi podmiotami będą zatem przedstawiciele branży telekomunikacyjnej, zarządców dróg publicznych, linii przesyłowych, kanalizacyjnych, niepublicznych szkół wyższych, przewoźników realizujących transport publiczny, czy zrzeszeń zawodów regulowanych. Warto przy tym zaznaczyć, że taki obowiązek może dotyczyć również fundacji, których statutowym celem jest realizacja zadań publicznych. Ponadto wyznaczony w takich podmiotach IODO musi czuwać nie tylko nad przetwarzaniem danych związanych z wykonywaniem zadań z zakresu administracji publicznej, ale powinien także koordynować całokształt pracy administratora lub podmiotu przetwarzającego.

Wyłączone z obowiązku wyznaczenia IODO są jedynie sądy, ale tylko w zakresie sprawowania wymiaru sprawiedliwości.

Podsumowując, drogi czytelniku zanim zaczniesz zastanawiać się, czy powołać IODO, czy nie, sprawdź czy  wykonujesz jakieś zadania zlecone przez jednostki rządowe lub samorządowe, np. takie jak realizowanie przewozów dofinansowanych przez gminę. Jeżeli tak, to zdecydowanie powinieneś poszukać swojego IODO.