Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Przetwarzanie danych osobowych na dużą skalę

Data publikacji: 07-11-2016 Autor: Tomasz Cygan

Dotychczas w polskim porządku prawnym przepisy o ochronie danych osobowych nie różnicowały obowiązków administratora danych w zależności od ilości przetwarzanych danych (big data) czy też objętości lub zawartości zbioru. W obliczu zbliżających się zmian warto przyjrzeć się temu zagadnieniu bardziej szczegółowo.

Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) wiąże niektóre obowiązki w zakresie ochrony danych osobowych z przetwarzaniem danych osobowych na dużą skalę.

> NOWE OBOWIĄZKI

Od dnia 25 kwietnia 2018 roku przetwarzanie danych osobowych na dużą skalę będzie wiązało się z obligatoryjnym wyznaczeniem inspektora ochrony danych. Jak stanowi art. 37 rozporządzenia, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

 

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.


Duża skala przetwarzanych danych wiąże się także z obowiązkiem wyznaczenia przedstawiciela administratorów lub podmiotów przetwarzających niemających jednostki organizacyjnej w Unii. Art. 27 rozporządzenia wskazuje bowiem, że administrator lub podmiot przetwarzający wyznacza swojego przedstawiciela, ilekroć przetwarza dane osobowe osób przebywających w Unii przez administratora lub podmiot przetwarzający niemających jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z:

 

  1. oferowaniem towarów lub usług takim osobom, których dane dotyczą, w Unii – niezależnie od tego, czy wymaga się od tych osób zapłaty; lub
  2. monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii.


Zwolnienie z tego obowiązku ma miejsce w przypadku przetwarzania, które ma charakter sporadyczny, nie obejmuje – na dużą skalę – przetwarzania szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, ani przetwarzania danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10, i jest mało prawdopodobne, by ze względu na swój charakter, kontekst, zakres i cele powodowało ryzyko naruszenia praw lub wolności osób fizycznych. Innymi słowy, przetwarzanie szczególnych kategorii danych osobowych na dużą skalę przez podmioty nieposiadające jednostki organizacyjnej na terytorium Unii Europejskiej skutkować będzie koniecznością wyznaczenia stosownego przedstawiciela. Jednocześnie wydaje się, że samo zwolnienie z tego obowiązków wymaga łącznego zaistnienia trzech przesłanek opisanych w przepisie. Przetwarzanie danych może mieć równocześnie charakter sporadyczny, nie obejmować na dużą skalę szczegółowych kategorii danych oraz nie naruszać praw lub wolności osób fizycznych. Pogląd ten wynika z faktu, że ilekroć rozporządzenie unijne wprowadza alternatywę i wybór pomiędzy przesłankami, wówczas posługuje się spójnikiem „lub”. W omawianym przepisie takiej alternatywy brakuje.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"