Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Obowiązek wyznaczenia IOD w świetle art. 37 ust. 1 lit. c rodo

19-05-2017 Autor: Paweł Barta

Obowiązujące obecnie przepisy uodo nie przewidują ogólnego obowiązku powołania przez ADO – ABI. Nie jest to konieczne ani w przypadku przetwarzania tzw. danych wrażliwych, ani w przypadku przetwarzania dużego ich wolumenu. Sytuacja zmieni się diametralnie po 25 maja 2018 r.

 

Przepisy rodo przewidują kilka przypadków, w których istnieje obowiązek powołania inspektora ochrony danych (ang. Data Protection Officer, dalej: DPO) zarówno przez administratora danych, jak i podmiot przetwarzający, czyli taki, któremu powierzono przetwarzanie danych osobowych (procesora). Ich interpretacja może jednak w praktyce stosowania przepisów rodo sprawiać istotne trudności i budzić pewne wątpliwości.

W artykule zostanie omówiony jeden z tych przypadków, który dotyczy tzw. sektora prywatnego (podmioty z sektora publicznego – organ lub podmiot publiczny, z wyłączeniem wymiaru sprawiedliwości – mają obowiązek wyznaczenia w każdym przypadku DPO, zgodnie z art. 37 ust. 1 pkt a rodo), tj. obowiązku wyznaczenia DPO w sytuacji przetwarzania na dużą skalę szczególnych kategorii danych oraz danych dotyczących wyroków skazujących i naruszeń prawa.

 

Wyznaczenie DPO


Ustawodawca w art. 37 ust. 1 lit. c rodo wskazuje, że: „administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy: (…)

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”.

Jak słusznie wskazuje Grupa Robocza Art. 29 ds. ochrony danych w dokumencie 16/EN WP 2431, mimo że ustawodawca unijny w art. 37 ust. 1 lit. c rodo użył sformułowania „oraz”, to, uwzględniając przede wszystkim cel tej regulacji, nie ma logicznego uzasadnienia, by stosować wymóg jednoczesnego przetwarzania obu tych kategorii danych. Zatem pomimo literalnego brzmienia tego przepisu powinno się je wykładać tak, jakby został zastosowany spójnik „lub” (ang. or).

By doszło do aktualizacji obowiązku wyznaczenia przez ADO lub procesora DPO, muszą wystąpić łącznie następujące przesłanki:

  • ADO lub procesor przetwarza szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 rodo, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 rodo;
  • przetwarzanie tych danych jest dokonywane na dużą skalę;
  • przetwarzanie tych danych jest główną działalnością podmiotu.

W ramach tego przepisu pojawia się kilka pojęć, które wymagają doprecyzowania, aby jego zastosowanie w praktyce obrotu rynkowego nie sprawiało nadmiernych trudności administratorom danych i podmiotom przetwarzającym dane na zlecenie. Przede wszystkim należy określić:

  • czym są „szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1”;
  • czym są „dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10”;
  • kiedy przetwarzanie ww. danych osobowych jest główną działalnością podmiotu;
  • kiedy dochodzi do przetwarzania danych na dużą skalę.

Pierwszym etapem testu zastosowania art. 37 ust. 1 lit. c rodo powinno być zbadanie, czy administrator danych lub procesor przetwarzają dane, o których mowa w art. 9 ust. 1 lub art. 10 rodo.

 

Szczególne kategorie danych osobowych


Zarówno rodo, jak i uodo zawierają zamknięty katalog informacji, stanowiących szczególne kategorie danych (na gruncie uodo zwanych danymi wrażliwymi).

Ustawodawca unijny stosuje nieco odmienną od polskiego prawodawcy siatkę pojęć dla określenia zakresu przedmiotowego szczególnych kategorii danych, o których mowa w tym przepisie. W dużej mierze jednak pojęcie szczególnych kategorii danych z art. 9 ust. 1 rodo pokrywa się z pojęciem danych wrażliwych, ujętym w art. 27 ust. 1 uodo; po wyłączeniu z zakresu tego pojęcia danych dotyczących: „skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym”. Na gruncie art. 37 ust. 1 lit. c rodo te dane zostały określone jako: „dotyczące wyroków skazujących i naruszeń prawa, o których mowa w art. 10 RODO”. Biorąc pod uwagę fakt włączenia w zakres pojęcia szczególnych kategorii danych z art. 9 ust. 1 rodo: danych biometrycznych i danych genetycznych, można pokusić się o twierdzenie, że katalog ww. informacji, zwanych na gruncie uodo danymi wrażliwymi, został poszerzony w rodo w porównaniu z zapisami zawartymi w uodo.

[...]

Autor jest radcą prawnym, partnerem w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów sp.p.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.