Daniel
Wieszczycki
prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...
Temat: Obowiązek powołania inspektora ochrony danych w ogólnym...
Mamy już praktycznie ostateczny tekst ogólnego rozporządzenia o ochronie danych osobowych, nawet w oficjalnej polskiej wersji językowej. Chciałem rozpocząć dyskusję nad przepisem, który obecnych ABIch może bardzo interesować. Chodzi mi o Artykuł 35 ust. 1 punkt b) określający kiedy administrator lub podmiot przetwarzający są zobowiązane do powołania inspektora ochrony danych.Niestety, twarde ramy nie przeszły dalej (proponowano 5000 rekordów w skali rocznej lub 250 osób zatrudnionych) i dostaliśmy, moim zdaniem trudny do zgryzienia, a raczej interpretacji, orzech ;)
Bo co w praktyce oznacza "główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania podmiotów danych na dużą skalę".
Co oznacza "duża skala"? Co to jest "monitorowanie podmiotów danych"? Kiedy monitorowanie będzie regularne i systematyczne? Co to oznacza, że główna działalność polega na operacjach przetwarzania?
Punkt c) wcale nie jest łatwiejszy. Interpretacja językowa jest absurdalna.
Inspektora ochrony danych trzeba powołać gdy: "główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii, o których mowa w art. 9 ust. 1, oraz danych o wyrokach skazujących za przestępstwa i o przestępstwach, o których mowa w art. 9a.
Oraz (w wersji angielskiej jest też "and" a nie "and/or". Czy przychodzi Wam na myśl jakiś podmiot, który będzie przetwarzał zarówno dane wrażliwe jak i dane na temat skazań? Mi na pierwszy rzut przychodzi szpital psychiatryczny... I na razie tyle. Może ta wątpliwość zostanie usunięta na etapie czyszczenia technicznego tekstu i pojawi się tam "lub" zamiast "oraz", ale teraz to wygląda dziwnie.
Jestem ciekawy Waszych opinii, zwłaszcza na temat punktu b)