Nowy wykaz operacji wymagających oceny skutków przetwarzania

Poland
Available languages: EN

W ostatnim czasie UODO ogłosił zmodyfikowany wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania (Wykaz).

Czym jest ocena skutków przetwarzania?

Ocena skutków (data protection impact assessment, DPIA) jest jednym z narzędzi służących administratorom do wykazywania przestrzegania przepisów RODO. Ma ona na celu ocenę skutków planowanych operacji przetwarzania, które – na podstawie wstępnego oszacowania – z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych oraz podjęcie środków zaradczych, aby to ryzyko wyeliminować.

Dlaczego Wykaz został zmodyfikowany?

Obowiązek opublikowania Wykazu nakładają na krajowe organy nadzorcze przepisy RODO. UODO - polski organ ochrony danych - po raz pierwszy podał Wykaz do publicznej wiadomości w sierpniu 2018 r., jednak został zobowiązany do jego modyfikacji przez Europejską Radę Ochrony Danych (EROD), aby m.in. zapewnić spójność stosowania przepisów RODO w państwach członkowskich.

Nowości

Zgodnie z rekomendacjami EROD, odwołującymi się do wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków przetwarzania:

  • jako osobne kryterium wyodrębniono przetwarzanie danych biometrycznych w celu identyfikacji lub kontroli dostępu, np. kontroli wejścia do określonych pomieszczeń lub uzyskania dostępu do konta w systemie IT;

  • jako nowe wyodrębniono kryterium dotyczące przetwarzania danych lokalizacyjnych, np. śledzenie lokalizacji użytkowników aplikacji lub pracowników;

  • nowością jest także wyodrębnienie jako osobnego kryterium przetwarzania danych genetycznych, np. w ramach wykonywania testów DNA lub badań medycznych.

Obecnie według UODO oceny skutków może wymagać profilowanie użytkowników portali społecznościowych lub aplikacji w celu wysyłania im informacji marketingowych także wtedy, gdy zostały wysłane za zgodą odbiorcy (nie są tzw. spamem).

Polska specyfika

Przedsiębiorcy prowadzący działalność międzynarodową powinni także zwrócić uwagę na przykłady operacji przetwarzania, które nie pojawiają się w wytycznych Grupy Roboczej Art. 29 (były natomiast uwzględnione już w pierwszym Wykazie). Np. przetwarzanie danych w ramach systemów służących do zgłaszania nieprawidłowości (whistleblowing), stosowanych często przez międzynarodowe korporacje, mogą w Polsce wymagać przeprowadzenia DPIA. Podobnie ocena skutków może być w Polsce wymagana dla wykorzystywania innowacyjnych technologii w interaktywnych zabawkach czy prowadzenia konsultacji telemedycznych z ośrodkami spoza UE lub przekazywania danych medycznych o zasięgu międzynarodowym.

Jak korzystać z Wykazu?

W niektórych sytuacjach, wykonanie DPIA jest obowiązkowe, a Wykaz ma pomóc administratorom ustalić, które to są sytuacje.

Ocena skutków zasadniczo jest wymagana, jeśli dany rodzaj przetwarzania spełnia co najmniej dwa kryteria ujęte w Wykazie. Przykładem może być monitorowanie czasu pracy pracowników i przepływu informacji w wykorzystywanych przez nich narzędziach (Internet, poczta elektroniczna). Im więcej kryteriów zostanie spełnionych, tym prawdopodobieństwo konieczności DPIA będzie większe.

Nie wyklucza to jednak, że dana operacja przetwarzania może wymagać przeprowadzenia oceny skutków spełniając tylko jedno kryterium. Wykaz ma bowiem charakter niewyczerpujący oraz ilustracyjny i nie zwalania administratorów z odpowiedzialności za podjęcie decyzji o przeprowadzeniu lub braku przeprowadzenia DPIA. Administrator planujący rozpoczęcie nowego rodzaju przetwarzania, np. wdrażając nowy produkt lub usługę, powinien każdorazowo uwzględnić ewentualne ryzyka dla osób, których dane są przetwarzane i rozważyć zasadność przeprowadzenia oceny jego skutków dla ochrony danych.

W przypadku pytań, zapraszamy do kontaktu.