Aktualności

PUODO zaktualizował wykaz operacji przetwarzania wymagających oceny skutków dla ochrony danych

PUODO zaktualizował wykaz operacji przetwarzania wymagających oceny skutków dla ochrony danych

Zaktualizowany wykaz przetwarzania wymagających oceny skutków dla ochrony danych (czyli tzw. DPIA ang. data protection impact assessment) uwzględnia uwagi, które do pierwotnego wykazu zgłosiła Europejska Rada Ochrony Danych. Wykaz ma pomóc w administratorom w ocenie, dla których procesów przetwarzania danych należy przeprowadzić DPIA.

  1. Czym jest ocena skutków dla ochrony danych?

Ocena skutków dla ochrony danych to element procedury zarządzania ryzykiem związanym z ochroną danych. Przeprowadza się ją dla tych procesów przetwarzania, które obarczone są dużym podobieństwem powstania wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. RODO nie definiuje samego pojęcia DPIA, ale wymienia, co powinno się na nie składać:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Nie istnieje jeden obowiązujący szablon do przeprowadzania DPIA. Administratorzy mogą np. skorzystać z narzędzia PIA opracowanego przez francuski organ ochrony danych osobowych, dostępny np. na stronie PUODO. Dla części administratorów PIA może okazać się programem zbyt skomplikowanym, warto go wtedy potraktować jako punkt wyjścia do opracowania własnej dokumentacji.

  1. Które operacje przetwarzania danych osobowych wymagają przeprowadzenia DPIA?

Ogólnie mówiąc, DPIA należy przeprowadzić obowiązkowo dla tych rodzajów przetwarzania które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

RODO wymienia wprost 4 sytuacje, kiedy przeprowadzenie DPIA jest konieczne:
1) operacja przetwarzania polega na systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
2) dochodzi do przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (tzw. danych wrażliwych), lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO; lub
3) dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie,
4) operacja przetwarzania mieści się w katalogu wykaz przetwarzania wymagających oceny skutków dla ochrony danych opracowanych przez organ nadzorczy (a więc w każdym kraju ten wykaz może być różny).

Pozostałe operacje przetwarzania danych mogą być również poddanie ocenie skutków dla ochrony danych, jednak decyzja w tym zakresie należy do administratora.

  1. Jakie operacje przetwarzania danych znalazły się w zaktualizowanym wykazie PUODO?

Wykaz zawiera listę 12 kryteriów/rodzajów operacji przetwarzania, które według organu wymagają przeprowadzenia DPIA – a więc o 3 więcej niż lista pierwotna z zeszłego roku. Jeżeli badana przez administratora danych operacja przetwarzania wyczerpuje co najmniej 2 z podanych kryteriów, przeprowadzenie DPIA jest obowiązkowe. Jeżeli spełnione jest chociaż 1 kryterium, administrator danych może uznać, że należy przeprowadzić DPIA. Do każdego z kryteriów dla ułatwienia wskazano możliwe obszary jego zastosowania oraz przykładowe czynności przetwarzania. Mają one jednak tylko charakter pomocniczy i nie należy ich traktować jako wyczerpującą listę operacji przetwarzania.

W aktualnym wykazie operacji przetwarzania wymagających oceny skutków dla ochrony danych znalazły się następujące pozycje:

  1. ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (np. reklama behawioralna),
  2. zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki (np. badanie preferencji zakupowych klientów na podstawie programów lojalnościowych w celu dostosowania oferty rabatów),
  3. systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni (np. monitoring pracowników w zakładzie pracy oparty na technologii rozpoznawania twarzy),
  4. przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (np. aplikacje zbierające informację o stanie zdrowia za pomocą opasek rejestrujących aktywność fizyczną),
  5. przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu (np. zabezpieczenie wejścia do serwerowni systemem autoryzacji pracownika za pomocą odcisku kciuka),
  6. przetwarzanie danych genetycznych (np. testy DNA przeprowadzane przez kliniki),
  7. dane przetwarzane na dużą skalę (zarówno ze względu na liczbę osób, jak i zakres danych czy przetwarzania np. media społecznościowe),
  8. przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł (np. tworzenie profili klientów na potrzeby marketingowe poprzez kompilację danych z różnych zbiorów),
  9. przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi (np. programy whistleblowing w zakładach pracy),
  10. innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych (np. zabawki interaktywne),
  11. gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy (np. podejmowanie decyzji kredytowych na podstawie danych zawartych w rejestrach dłużników),
  12. przetwarzanie danych lokalizacyjnych (np. lokalizacja pracowników za pomocą GPS).


Anna Szymielewicz

Prawnik

Anna Szymielewicz

Radca prawny, Partner

Anna Szymielewicz

Kontakt:

ul. Rondo ONZ 1
00-124 Warszawa