Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Obowiązek wyznaczenia IOD przy operacjach monitorowania osób na dużą skalę

19-05-2017 Autor: Jan Byrski

Instytucja inspektora ochrony danych (dalej: IOD) została przewidziana w ogólnym rozporządzeniu o ochronie danych (dalej: rodo). Zgodnie z jego założeniami IOD w przyszłości ma się stać odpowiednikiem polskiego administratora bezpieczeństwa informacji (dalej: ABI).

 

Do obowiązków IOD będzie należało czuwanie nad przestrzeganiem obowiązujących przepisów dotyczących ochrony danych osobowych w ramach działalności wykonywanej przez administratora lub podmiot przetwarzający. Przepisy rodo określają nie tylko katalog jego kompetencji oraz obowiązków w zakresie podejmowanych przez niego działań, ale także bezpośrednio wskazują na przypadki, w których powołanie IOD jest obligatoryjne z mocy prawa.

Jeden z przypadków obowiązkowego wyznaczenia IOD dotyczy administratora lub podmiotu przetwarzającego, których główna działalność polega na operacjach przetwarzania. Ze względu na swój charakter, zakres lub cel operacje przetwarzania wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę (art. 37 ust. 1 lit. b rodo). Taki administrator (lub odpowiednio podmiot przetwarzający) będzie zobowiązany powołać IOD, który w zakresie sprawowanych przez siebie zadań będzie czuwał nad właściwym przestrzeganiem przepisów w ramach przetwarzania danych osobowych przez administratora lub podmiot przetwarzający.

Pomimo wskazania w art. 37 ust. 1 lit. b rodo zakresu podmiotowego obejmującego pewnych administratorów lub procesorów zobowiązanych do powołania IOD, nie sposób bez większych trudności wskazać konkretne kategorie podmiotów, których ten obowiązek będzie dotyczył. Prawodawca w przepisach rodo ani w motywach preambuły nie podaje bowiem enumeratywnego wyliczenia podmiotów, które zostaną objęte obowiązkiem powołania IOD. Nie wymienia też ich przykładowego katalogu, który z pewnością byłby pomocny w celu właściwej interpretacji przepisów.

 

Wytyczne Grupy Roboczej Art. 29


Grupa Robocza Art. 29 dyrektywy 95/46/WE zdecydowała się na wydanie wytycznych1, mających na celu przybliżenie całości instytucji IOD, skupiając się między innymi na przykładach jego obligatoryjnego powołania. Zgodnie z informacjami wskazanymi w przedmiotowych wytycznych Grupa Robocza Art. 29 w zakresie przygotowywanego przez siebie dokumentu skorzystała ze swojego uprawnienia zawartego w dyrektywie 95/46/WE, tj. do formułowania z własnej inicjatywy zaleceń we wszystkich sprawach dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych w UE. Jednym z głównych celów wydania wytycznych było doprecyzowanie siatki pojęciowej, którą posłużył się prawodawca unijny podczas formułowania przepisów rodo. Ich treść pozwala na praktyczne rozumienie kwestii dotyczących katalogu podmiotów zobligowanych do powołania IOD z mocy samego prawa. Ponadto, oprócz analizy konkretnych pojęć, Grupa Robocza Art. 29 pokusiła się także o próbę wskazania, w ramach analizy każdej z definicji, przykładowych podmiotów, których dotyczy konkretna regulacja.

Na gruncie analizowanego art. 37 ust. 1 lit. b rodo kluczowe wydaje się przybliżenie takich pojęć jak „główna działalność”, „regularne i systematyczne monitorowanie” oraz „duża skala”. Dokładniejsza analiza tych pojęć z pewnością będzie pomocna w zakresie formułowania wniosków dotyczących podmiotów zobligowanych do powołania IOD na mocy tego przepisu. Już na tym etapie rozważań warto zaznaczyć, że działania podjęte przez Grupę Roboczą Art. 29 w przedmiocie doprecyzowania pojęć użytych w przepisach odgrywają doniosłą rolę w zakresie interpretacji całości regulacji instytucji IOD.

 

Główna działalność


Przede wszystkim ze względu na brzmienie art. 37 ust. 1 lit. b rodo istotne znaczenie ma dookreślenie sformułowania „głównej działalności” wykonywanej przez administratora lub podmiot przetwarzający. Obowiązek ten zaistnieje bowiem tylko wtedy, gdy główna działalność administratora lub podmiotu przetwarzającego będzie się skupiała na swoistym przetwarzaniu danych osobowych, czyli na przetwarzaniu na dużą skalę.

Prawodawca unijny w motywie 97 preambuły do rodo wskazuje jedynie enigmatycznie, że główna działalność administratora oznacza jego zasadnicze, a nie poboczne czynności (np. przetwarzanie danych osobowych w celu prowadzenia listy płac czy korzystania z obsługi IT).

[...]

Autor jest adwokatem, wspólnikiem w Traple Konarski Podrecki i Wspólnicy, adiunktem w Katedrze Prawa Cywilnego i Gospodarczego Wydziału Finansów i Prawa Uniwersytetu Ekonomicznego w Krakowie.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.