Wyznaczenie IOD w firmie
W poprzednim wpisie, z którym można zapoznać się tutaj, wskazałam, że przedsiębiorca dokonując oceny konieczności wyznaczenia IOD w firmie powinien w pierwszej kolejności zapoznać się z art. 37 ust. 1 RODO. W lit. b) oraz c) tego przepisu wyszczególnione zostały przesłanki, których spełnienie obliguje przedsiębiorcę do wyznaczenia IOD w jego firmie.
Do omówienia pozostała lit. c) wskazanego artykułu, aczkolwiek niektóre przesłanki w niej wskazane będą analogiczne do tych określonych w lit. b). Mianowicie, chodzi o takie przesłanki jak pojęcie głównej działalności administratora polegającej na przetwarzaniu danych oraz pojęcie dużej skali.
Dla przypomnienia, art. 37 ust. 1 lit. c) RODO stanowi o tym, że administrator danych lub procesor wyznaczają IOD, zawsze gdy ich główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych kategorii lub danych dotyczących wyroków skazujących i naruszeń prawa.
Dane szczególnych kategorii
Czym są dane szczególnych kategorii reguluje art. 9 ust. 1 RODO, w którym wymienione zostały takie dane jak:
- Pochodzenie rasowe lub etniczne,
- Poglądy polityczne,
- Przekonania religijne lub światopoglądowe,
- Przynależność do związków zawodowych,
- Dane: genetyczne, biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dotyczące zdrowia, seksualności lub orientacji seksualnej.
Przykładem podmiotu, który w związku ze swoją działalnością przetwarza dane szczególnych kategorii na dużą skalę są szpitale.
Dane dotyczące wyroków skazujących i naruszeń prawa
Zarówno art. 10 jak i art. 37 ust. 1 lit. c) RODO stanowią o przetwarzaniu danych dotyczących wyroków skazujących oraz (i) naruszeń prawa. Zastosowanie w art. 10 łącznika „oraz”, natomiast w art. 37 ust. 1 lit. c) łącznika „i” mogłoby sugerować, że obie wskazane przesłanki powinny być stosowane jednocześnie (zarówno przetwarzanie danych dotyczących wyroków skazujących jak i naruszeń prawa).
Jednakże według Wytycznych dotyczących Inspektorów Danych Osobowych Grupy Roboczej Art. 29 ds. ochrony danych, zastosowanie w przypadku tych artykułów powinien mieć łącznik „lub”. W związku z tym przedsiębiorca określając skalę przetwarzania danych musi osobno wziąć pod uwagę dane dotyczące wyroków skazujących oraz dane dotyczące naruszeń prawa.
Przykładem podmiotu, który w związku ze swoją działalnością przetwarza dane dotyczące wyroków skazujących lub naruszeń prawa na dużą skalę są duże kancelarie prawne.
Tak więc, przedsiębiorca, który w ramach swojej głównej działalności na dużą skalę przetwarza dane szczególnych kategorii lub dane dotyczące wyroków skazujących lub też dane dotyczące naruszeń prawa powinien wyznaczyć w swojej firmie IOD.