Jeszcze o IODO!

Jowita Kania-Stachura23 kwietnia 20184 komentarze

Szanowni Państwo!

Po ostatnim wpisie dotyczącym IODO Kiedy powołać IODO, w którym rozwodziliśmy się nad tym, że obowiązek powołania IODO dotyczy podmiotów, których główna działalność polega na administrowaniu lub przetwarzaniu danych, dostaję wiadomości od osób prowadzących biura rachunkowe, doradców podatkowych, komorników i notariuszy. Wszyscy pytają o jedno – mamy powoływać IODO? Odpowiemy tak jak prawnicy lubią najbardziej … to zależy.

Oczywiście wszystkie wskazane podmioty zajmują się przetwarzaniem danych osobowych osób fizycznych i  bez tego przetwarzania ich praca stałaby się niemożliwa. Można by więc rzec, że przetwarzanie danych jest ich główną działalnością. Nie oznacza to jednak, że muszą wyznaczać IODO.

Kluczem do ustalenia, czy powoływać IODO czy nie, jest uważna lektura art. 37 ust. 1 lit. b) RODO. Otóż, aby powstał obowiązek powołania IODO główna działalność administratora lub podmiotu przetwarzającego, musi dodatkowo polegać na wykonywaniu operacji, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę.

Na czym więc polega ów regularne i systematyczne monitorowanie na dużą skalę, które powodowałoby konieczność spełnienia kolejnych wymagań RODO?

Jak zwykle prawodawca europejski nie zdefiniował tych wyrażeń wprost w przepisach powszechnie obowiązujących. Wskazał wyłącznie w motywie 24 RODO, iż: „pojęcie monitorowani obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych”. Oznacza to, że monitorowanie obejmuje każdą czynność śledzenia i profilowania prowadzoną zarówno w Internecie, ale również poza nim. Z sytuacjami monitorowania spotykamy się stosunkowo często, na przykład wtedy, gdy jednego dnia szukamy w sieci wymarzonego odkurzacza na prezent urodzinowy dla teściowej, a następnego pojawiają się nam na ekranie komputera, przy okazji buszowania w sieci, wyłącznie reklamy AGD. Monitorowaniem będzie więc każde działanie przedsiębiorcy polegające na śledzeniu, badaniu i analizowaniu zachowań osoby fizycznej.

Ponadto, mówiąc o regularnym i systematycznym monitorowaniu, należy mieć na myśli przetwarzanie danych osób obserwowanych, następujące w regularnych odstępach czasu lub prowadzone w sposób ciągły w oparciu o jakiś system, plan i zgodnie z określoną metodologią. Działalność danego podmiotu będzie miała przymiot regularności, jeżeli polega na wykonywaniu czynności stałych albo występujących w określonych odstępach czasu przez ustalony okres, cyklicznych albo powtarzających się w określonym czasie stale lub okresowo. Natomiast systematyczne monitorowanie to działania występujące zgodnie z określonym systemem, zaaranżowane, zorganizowane lub metodyczne, odbywające się w ramach generalnego planu zbierania danych, przeprowadzone w ramach określonej strategii.

Jakie to ma znaczenie dla wspomnianych biur rachunkowych i innych wyżej wymienionych podmiotów? Otóż takie, że na ogół trudno dopatrzyć się w ich działalności okoliczności powodujących, że spoczywałby na nich obowiązek wyznaczenia IODO.

W takiej sytuacji możecie więc Państwo odetchnąć i skupić się na innych aspektach przygotowania do RODO.

{ 4 komentarze… przeczytaj je poniżej albo dodaj swój }

Mike 8 maja, 2018 o 22:57

Biura rachunkowe przetwarzają też często dane kadrowe które mogą stanowić dane wrażliwe – dotyczące zdrowia (np. zwolnienia lekarskie, PFRON, itp) więc czy nie powoduje to, że jednak mają obowiązek wyznaczenia IOD?

Odpowiedz

Jowita Kania-Stachura 9 maja, 2018 o 14:30

Wszystko zależy od skali 🙂

Odpowiedz

Mike 11 maja, 2018 o 21:32

Wielkość – skala może być pojęciem względnym (dla kontrolującego 🙂 Przykładowo takie trudne pytanie o skalę:
czy biuro które przetwarza dane np 100 firm może nie mieć IOD, a takie co przetwarza dane 200 to już powinno? Wszystko jest względne 🙂

Odpowiedz

Jowita Kania-Stachura 14 maja, 2018 o 11:21

Trudno się nie zgodzić 🙂

Odpowiedz

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Kania Stachura Toś Kancelaria Radców Prawnych Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Kania Stachura Toś Kancelaria Radców Prawnych z siedzibą w Krakowie.

Kontakt z Administratorem jest możliwy pod adresem jowita.kania@kancelariakst.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: