- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę wrażliwych danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Do podmiotów prywatnych z sektora B2B mogą mieć więc zastosowanie dwie ostatnie przesłanki, przy czym wydaje się, że najczęściej występującą w praktyce będzie pierwsza z nich. Zasadniczą kwestią jest dokonanie oceny, co oznaczają pojęcia „główna działalność" oraz „duża skala", które nie zostały doprecyzowane przez RODO.
Co to jest główna działalność
Grupa Robocza Art. 29 w swoich wytycznych wskazuje, że główna działalność to działalność kluczowa z punktu widzenia działalności administratora i osiągnięcia jego celów. Polega ona na operacjach przetwarzania danych, jeżeli to przetwarzanie danych osobowych jest nierozerwalnie związane z działaniami stanowiącymi „główną działalność" administratora lub podmiotu przetwarzającego. Co istotne, czynności przetwarzania związane z obsługą pracowników (np. prowadzenie listy płac) lub korzystanie ze standardowych usług IT powinny być rozumiane jako przykłady działań pobocznych, wspierających prowadzenie działalności głównej, w związku z czym same takie działania nie będą kreować obowiązku wyznaczenia IOD. Te wskazówki mogą mieć znaczenie zwłaszcza w przypadku podmiotów, które nie prowadzą obsługi klientów indywidualnych, np. firm produkcyjnych z sektora B2B, które przetwarzają przede wszystkim dane osobowe swoich pracowników i kontrahentów.
Czym jest przetwarzanie na dużą skalę
Z kolei przy określaniu, czy przetwarzanie następuje na dużą skalę, Grupa Robocza Art. 29 zaleca uwzględnienie następujących czynników: liczby osób, których dane dotyczą, rodzaje danych osobowych, okres, przez jaki dane są przechowywane, a także zakres geograficzny przetwarzania danych osobowych. Ich łączne przeanalizowanie powinno prowadzić do wniosku, czy mamy do czynienia z przetwarzaniem danych osobowych na dużą skalę. Jako przykłady takiego przetwarzania można podać przetwarzanie danych klientów przez banki lub przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności.
Przepisy krajowe mogą rozszerzać katalog sytuacji, w których wyznaczenie IOD będzie obowiązkowe. Należy przy tym zauważyć, że podmioty, które nie będą zobowiązane do wyznaczenia IOD na podstawie przepisów RODO lub krajowych regulacji będą miały możliwość dobrowolnego ustanowienia takiej funkcji w ramach swojej organizacji. Niewykluczone, że takie podmioty będą bardziej konkurencyjne na rynku, np. jako podwykonawcy usług, ponieważ dzięki obecności IOD będą mogły w większym stopniu uwiarygodnić, że działają w zgodzie z RODO.
Naszym zdaniem każdy administrator danych osobowych lub podmiot przetwarzający powinien przeprowadzić analizę spełniania ww. przesłanek, która będzie odpowiednio udokumentowana. Analiza taka powinna wskazywać ostateczny wniosek o obowiązku lub braku obowiązku wyznaczenia IOD. W razie ewentualnej kontroli organu nadzoru administrator powinien być bowiem w stanie wykazać, że spełnia wymogi RODO, w tym również w zakresie powołania IOD.