W pierwszej mowa o organach lub podmiotach publicznych, ”z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości”. O kim dokładnie mowa? Tego RODO nie reguluje dokładnie, po jego wprowadzeniu więc w konkretnych krajach można się spodziewać dokładniejszej listy takich instytucji, stworzonej przez władze. Eksperci już teraz przewidują, że w tej grupie znaleźć się będą mogły na przykład państwowe instytuty, zakłady opieki zdrowotnej (publiczne), firmy zajmujące się gospodarką komunalną albo Agencja Mienia Wojskowego. Nie wiadomo na razie, czy przepis obowiązywać będzie również w tym przypadku firmy prywatne, które pracują na zlecenie administracji publicznej.
W drugiej grupie mowa o firmach, w których „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”.
Co to dokładnie oznacza? Okazuje się, że nie jest tak łatwo stwierdzić. – Chociażby skalowanie nie jest jasno określone. Być może z czasem pojawią się wytyczne urzędu, który zostanie utworzony w miejsce GIODO, albo pochodzące z Europejskiej Rady Ochrony Danych. Na razie jednak rzeczywiście, trudno o konkrety. A te, jak przewiduję, pojawią się nie wcześniej niż po 25 maja przyszłego roku – zauważa Rafał Kania, radca prawny z SENDERO Tax & Legal. Przeczytaj też artykuł RODO w administracji.
W tym wypadku warto mieć jednak na uwadze, że wspomniana w definicji działalność główna dotyczyć będzie przetwarzania danych osobowych najpewniej wtedy, gdy przedsiębiorstwo nie będzie w stanie funkcjonować bez przetwarzania takich informacji. Są więc firmy, które bez wątpienia zaliczyć należy do tej grupy. – W jej skład wchodzi sektor usług ogólnie dostępnych, czyli wszyscy dostawcy energii, wody, mediów. Wchodzi również sektor finansowy, a więc banki czy ubezpieczyciele, ponieważ na dużą skalę wykonują oni operacje na danych osobowych. Również sprzedawcy w sieci oraz usługodawcy medyczni, gdyż są to firmy, które przetwarzają tego rodzaju informacje na dużą skalę – wymienia Rafał Kania.