3. Что означает «крупномасштабный»?
3. What does ‘large scale’ mean?
GDPR не определяет, что представляет собой крупномасштабная обработка. WP29 рекомендует учитывать, в частности, следующие факторы при определении того, осуществляется ли обработка в крупных масштабах:
The GDPR does not define what constitutes large-scale processing. The WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:
• количество субъектов данных — в виде определенного числа или доли населения соответствующего региона
• the number of data subjects concerned — either as a specific number or as a proportion of the relevant population
• объем обрабатываемых данных и/или диапазон различных элементов обрабатываемых данных
• the volume of data and/or the range of different data items being processed
• длительность или постоянство деятельности по обработке персональных данных
• the duration, or permanence, of the data processing activity
• географические масштабы деятельности по обработке персональных данных.
• the geographical extent of the processing activity.
Примеры крупномасштабной обработки включают в себя:
Examples of large scale processing include:
• обработку данных о пациенте в ходе обычной деятельности больницы
• processing of patient data in the regular course of business by a hospital
• обработку данных о перемещениях лиц, использующих систему городского общественного транспорта (например, посредством отслеживания с помощью проездных билетов)
• processing of travel data of individuals using a city’s public transport system (e.g. tracking via travel cards)
• обработку в режиме реального времени данных о местонахождении клиентов международной сети ресторанов быстрого питания для статистических целей, осуществляемую процессором, специализирующимся на этой деятельности
• processing of real time geo-location data of customers of an international fast food chain for statistical purposes by a processor specialised in these activities
• обработку данных клиента в ходе обычной деятельности страховой компании или банка
• processing of customer data in the regular course of business by an insurance company or a bank
• обработку персональных данных для поведенческой рекламы с помощью поисковой системы
• processing of personal data for behavioural advertising by a search engine
• обработку данных (контент, трафик, место нахождения) поставщиками услуг телефонной связи или Интернет-услуг.
• processing of data (content, traffic, location) by telephone or internet service providers.
Примеры, которые не составляют крупномасштабную обработку, включают в себя:
Examples that do not constitute large-scale processing include:
• обработку данных пациента, осуществляемую индивидуальным врачом
• processing of patient data by an individual physician
• обработку персональных данных, касающихся судимостей и правонарушений, осуществляемую индивидуальным адвокатом.
• processing of personal data relating to criminal convictions and offences by an individual lawyer.
В статье идет речь о том, в каких случаях и при каких условиях следует назначать или нанимать инспектора по защите персональных данных (DPO).
В большинстве случаев, минимум одного из следующих условий достаточно, чтобы компания была обязана иметь DPO:
В качестве пояснения для пункта 2. следует отметить, что в самом Регламенте нет определения, что именно имеется ввиду под “регулярным и систематическим контролем” и под обработкой “в большом объеме”. Однако, надзорные органы поясняют, что “регулярный и систематический контроль” включает все формы отслеживания и профайлинга, как онлайн, так и оффлайн. Примером тут может служить таргетированная реклама.
При определении большого объема обработки необходимо принимать во внимание следующие факторы:
Например, сайт ритейлер использует алгоритмы для мониторинга поиска и покупок своих пользователей и на основании этой информации предлагает им рекомендации. Поскольку это происходит непрерывно и в соответствии с заранее определенными критериями, это можно рассматривать как регулярный и систематический мониторинг субъектов данных в широком масштабе. Следовательно, вне зависимости от размера самой компании, будет необходим DPO.
…
Войти
для доступа к полному тексту