Artykuły eksperckie

Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadziło szereg obowiązków dla administratorów i podmiotów przetwarzających dane osobowe. Jednym z ważniejszych, a zarazem niejednoznacznie zdefiniowanych pojęć w przepisach RODO, jest koncepcja „przetwarzania danych na dużą skalę”. Pojęcie to ma znaczenie dla praktyki ochrony danych osobowych, ponieważ determinuje konieczność spełnienia określonych wymogów prawnych, w tym przeprowadzenia oceny skutków dla ochrony danych (DPIA) oraz wyznaczenia inspektora ochrony danych (IOD).

Przetwarzanie danych na dużą skalę a rozporządzenie RODO

Z analizy przepisów RODO wynika, że przetwarzanie na dużą skalę stanowi przesłankę warunkującą powstanie obowiązków w co najmniej trzech istotnych kontekstach: gdy dotyczy szczególnych kategorii danych osobowych (danych wrażliwych) lub danych o wyrokach i czynach zabronionych, gdy wiąże się z systematycznym monitorowaniem miejsc dostępnych publicznie, a także gdy główna działalność administratora lub podmiotu przetwarzającego obejmuje regularne i systematyczne monitorowanie osób, których dane dotyczą.

Mimo znaczenia tego terminu dla praktyki stosowania RODO, prawodawca unijny nie zdecydował się na wprowadzenie precyzyjnej definicji legalnej „dużej skali przetwarzania”. Ta niejednoznaczność rodzi szereg wyzwań interpretacyjnych dla podmiotów zobowiązanych do przestrzegania przepisów o ochronie danych osobowych, stawiając przed nimi trudne zadanie samodzielnej oceny, czy prowadzone przez nich operacje przetwarzania osiągają próg „dużej skali”, a w konsekwencji – czy aktualizują się określone obowiązki prawne.

Niniejszy artykuł ma na celu przybliżenie problematyki przetwarzania danych na dużą skalę w kontekście RODO, analizę dostępnych wytycznych i orzecznictwa w tym zakresie, a także zaproponowanie praktycznych kryteriów, które mogą pomóc administratorom i podmiotom przetwarzającym w dokonaniu właściwej oceny skali prowadzonych operacji przetwarzania danych osobowych.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

638 osób to nie jest duża skala – wyrok Naczelnego Sądu Administracyjnego – III OSK 4150/21

W wyroku dotyczącym sporu między Międzyzakładową Spółdzielnią Mieszkaniową a Prezesem Urzędu Ochrony Danych Osobowych kwestia definicji „dużej skali przetwarzania” była istotnym elementem rozstrzygnięcia.

Sąd wskazał, że przepisy rozporządzenia RODO nie definiują bezpośrednio pojęcia „duża skala operacji przetwarzania danych” ani nie określają konkretnych progów ilościowych.

Według sądu, przy ocenie czy przetwarzanie odbywa się na dużą skalę, należy uwzględniać takie czynniki jak: liczba osób, których dane dotyczą (konkretna liczba lub procent określonej grupy społeczeństwa), zakres przetwarzanych danych osobowych, okres przetwarzania danych oraz zasięg geograficzny przetwarzania. Sąd podkreślił, że ocena ta powinna być dokonywana indywidualnie w każdym konkretnym przypadku.

Co istotne, w sprawie tej Spółdzielnia Mieszkaniowa, która przetwarzała dane 638 lokatorów, argumentowała, że nie jest to duża skala. Sąd uznał, że Prezes UODO nie wyjaśnił dostatecznie, dlaczego liczba ta miałaby stanowić przetwarzanie na dużą skalę.

Wytyczne grupy roboczej art. 29

Zgodnie z wytycznymi Grupy Roboczej art. 29 (czyli poprzedniczki obecnej Europejskiej Rady Ochrony Danych) zaleca się uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

• liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
• zakres przetwarzanych danych osobowych;
• okres, przez jaki dane są przetwarzane;
• zakres geograficzny przetwarzania danych osobowych.

Grupa wskazuje następujące przykłady przetwarzania danych na dużą skalę:

• przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
• przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’;
• przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
• przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
• przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
• przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:

• przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza;
• przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Definicja estońskiego prezesa urzędu ochrony danych osobowych

Zgodnie z wytycznymi estońskiego PUODO przetwarzanie uznaje się za prowadzone na szeroką skalę, jeśli obejmuje:

• dane szczególnych kategorii i/lub dane dotyczące wyroków skazujących oraz naruszeń prawa co najmniej 5 000 osób;
• dane niosące wysokie ryzyko dla co najmniej 10 000 osób (np. dane z usług płatniczych takich jak bankowość internetowa i dane kart kredytowych, dane z usług zaufania cyfrowego jak podpisy elektroniczne, dane komunikacyjne objęte tajemnicą komunikacji, dane geolokalizacyjne w czasie rzeczywistym, profilowanie wywołujące skutki prawne lub mające istotny wpływ, niepubliczne dane o sytuacji finansowej);
• w przypadku innych danych to co najmniej 50 000 osób.

Przetwarzanie danych w opiece zdrowotnej – stanowisko holenderskiego organu

Holenderski organ nadzorczy ds. ochrony danych osobowych, Autoriteit Persoonsgegevens (AP), określił kryteria uznania przetwarzania danych za „grootschalige gegevensverwerking” (przetwarzanie danych na dużą skalę) w sektorze opieki zdrowotnej. Zgodnie z wytycznymi AP, przetwarzanie danych pacjentów przez szpitale, grupy opieki zdrowotnej, placówki podstawowej opieki zdrowotnej i apteki (z wyjątkiem indywidualnych praktyk) jest zawsze uważane za przetwarzanie na dużą skalę.

AP zaleca również, aby nawet jeśli przetwarzanie danych nie jest uznawane za grootschalige gegevensverwerking, rozważyć powołanie Inspektora Ochrony Danych (Functionaris voor de Gegevensbescherming, FG), który może być współdzielony z innymi świadczeniodawcami lub zatrudniony zewnętrznie na ograniczony czas, aby zminimalizować obciążenia organizacyjne.

Stanowisko czeskiego PUODO

Czeski organ ochrony danych ustalił próg 10000 osób, po przekroczeniu którego przetwarzanie danych uznawane jest za prowadzone na dużą skalę. Ponadto, za dużą skalę uznaje się także przetwarzanie prowadzone przez więcej niż 20 oddziałów lub obejmujące ponad 20 pracowników. Organizacje powinny również uwzględnić zasięg geograficzny przetwarzania – jeśli odbywa się ono na poziomie międzynarodowym, jest bardziej prawdopodobne, że zostanie sklasyfikowane jako działanie na dużą skalę niż w przypadku zasięgu regionalnego.

Co na to Prezes polskiego Urzędu Ochrony Danych Osobowych?

Prezes polskiego Urzędu Ochrony Danych Osobowych nie wydał jednoznacznej interpretacji terminu dużej skali przetwarzania. Jednak PUODO na przestrzeni ostatnich lat przyjął dwa kodeksy postępowania w trybie art. 40 RODO, które dają pewne wskazówki.

Zgodnie z zatwierdzonym kodeksem postępowania dla sektora ochrony zdrowia wydanym przez Polską Federację Szpitali (PFSz) duża skala przetwarzania nie dotyczy podmiotu będącego indywidualną praktyką zawodową, w odniesieniu do danych przetwarzanych w ramach wykonywanej działalności leczniczej, w tym:

• jednoosobowej działalności gospodarczej jako indywidualnej praktyki lekarskiej, indywidualnej praktyki lekarskiej wyłącznie w miejscu wezwania, indywidualnej specjalistycznej praktyki lekarskiej, indywidualnej specjalistycznej praktyki lekarskiej wyłącznie w miejscu wezwania;
• jednoosobowej działalności gospodarczej jako indywidualnej praktyki pielęgniarki, indywidualnej praktyki pielęgniarki wyłącznie w miejscu wezwania, indywidualnej specjalistycznej praktyki pielęgniarki, indywidualnej specjalistycznej praktyki pielęgniarki wyłącznie w miejscu wezwania;
• jednoosobowej działalności gospodarczej jako indywidualnej praktyki fizjoterapeutycznej, indywidualnej praktyki fizjoterapeutycznej wyłącznie w miejscu wezwania.

Z kolei w zatwierdzonym kodeksie postępowania dotyczącym ochrony danych osobowych przetwarzanych w małych placówkach medycznych wydanym przez Porozumienie Zielonogórskie możemy wyczytać, że zaleca się uwzględnianie następujących kryteriów przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

• liczba osób, których dane dotyczą – chodzi zarówno o konkretną liczbę jednostek (np. 10 tys. pacjentów), jak i o relację tej liczby do ogółu społeczeństwa lub określonej grupy (np. mieszkańców gminy, pacjentów w regionie). Przykładowo, jeżeli dana placówka medyczna obsługuje większość mieszkańców niewielkiej gminy, to nawet relatywnie niewielka liczba danych może stanowić dużą skalę, ponieważ obejmuje znaczną część lokalnej populacji.
• zakres przetwarzanych danych osobowych – chodzi o to, jak szczegółowe, wrażliwe i zróżnicowane są dane. W przypadku placówek medycznych zakres ten będzie niemal zawsze szeroki, ponieważ obejmuje dane szczególnej kategorii (wrażliwe), takie jak informacje o stanie zdrowia, wynikach badań, diagnozach, zabiegach czy historiach chorób. Im więcej kategorii danych i im bardziej są one szczegółowe, tym większe ryzyko i tym bardziej skłaniamy się ku uznaniu przetwarzania za „dużą skalę”.
• okres, przez jaki dane są przetwarzane – przetwarzanie danych przez długi czas (np. przez wiele lat, zgodnie z obowiązkiem przechowywania dokumentacji medycznej przez co najmniej 20 lat) zwiększa znaczenie operacji przetwarzania. Przechowywanie danych długoterminowo, a nie tylko w ramach jednorazowej usługi, zwiększa zakres potencjalnego wpływu na prywatność osób, których dane dotyczą.
• zakres geograficzny przetwarzania danych osobowych – im szerszy zasięg terytorialny przetwarzania (np. przetwarzanie danych pacjentów z wielu województw, ogólnokrajowe systemy medyczne, dane przekazywane międzynarodowo), tym większe ryzyko i większa skala. Przetwarzanie danych ograniczone do jednej lokalizacji ma mniejsze znaczenie niż przetwarzanie obejmujące wiele placówek lub obszarów.

Praktyczne podsumowanie:

• „Przetwarzanie danych na dużą skalę” to niejednoznacznie zdefiniowane pojęcie w RODO, które warunkuje obowiązki takie jak przeprowadzenie oceny skutków dla ochrony danych (DPIA) i wyznaczenie inspektora ochrony danych (IOD)
• Rozporządzenie RODO nie określa dokładnych progów liczbowych, co wymaga indywidualnej interpretacji przez administratorów danych

Kryteria oceny „dużej skali” (wg Grupy Roboczej art. 29):

1. Liczba osób, których dane dotyczą (bezwzględna lub procentowa)
2. Zakres przetwarzanych danych
3. Okres przechowywania danych
4. Zasięg geograficzny przetwarzania

Przykłady podejść w różnych krajach

• Polska: NSA uznał, że przetwarzanie danych 638 osób (lokatorów spółdzielni) nie stanowi automatycznie dużej skali
• Estonia: Duża skala to przynajmniej 5000 osób (dane wrażliwe), 10000 osób (dane wysokiego ryzyka) lub 50000 osób (inne dane)
• Czechy: Próg 10000 osób lub przetwarzanie przez więcej niż 20 oddziałów/20 pracowników
• Holandia: W sektorze zdrowia szpitale i większe placówki zawsze kwalifikują się jako przetwarzające dane na dużą skalę

Przykłady dużej skali przetwarzania danych osobowych:

• Przetwarzanie danych pacjentów przez szpitale
• Śledzenie podróży w komunikacji miejskiej
• Dane geolokalizacyjne klientów w czasie rzeczywistym
• Przetwarzanie danych klientów przez banki i ubezpieczycieli
• Reklama behawioralna przez wyszukiwarki
• Przetwarzanie danych przez dostawców usług telefonicznych/internetowych

Przykłady małej skali przetwarzania danych osobowych:

• Indywidualne praktyki lekarskie, pielęgniarskie, fizjoterapeutyczne
• Przetwarzanie danych przez pojedynczego lekarza
• Przetwarzanie danych o wyrokach przez indywidualnego prawnika

Wskazówki:

• Ocena powinna być dokonywana indywidualnie w każdym przypadku
• Warto rozważyć nie tylko liczbę osób, ale też zakres danych, znaczenie dla lokalnej populacji i czas przetwarzania
• W razie wątpliwości lepiej przyjąć konserwatywne podejście i spełnić wymogi dla dużej skali przetwarzania
• Administratorzy mogą opierać się na wytycznych organów krajowych i europejskich, choć nie są one wiążące

Wdrożenie i audyt RODO – Kancelaria After Legal

Zespół Kancelarii After Legal już od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowego wsparcia prawnego. Przetwarzanie danych osobowych wciąż budzi wiele wątpliwości u administratorów. Wskazanie przesłanki legitymizującej taką operację nie zawsze będzie proste. Kluczem dla sprawnego funkcjonowania organizacji jest też wypracowanie kompletnych, jednoznacznych i bezpiecznych wytycznych pozwalających pracownikom na zarządzanie danymi osobowymi klientów firmy. Oferujemy kompleksowe wsparcie w zakresie RODO. Zapewniamy wdrożenie rozporządzenia RODO w organizacji, opracowujemy procesy i dokumentację, a także szkolimy pracowników wraz z kadrą zarządzającą. Realizujemy też cykliczne audyty w zakresie RODO compliance.