Spis treści
W szczególności taki obowiązek będzie miał miejsce w przypadku:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO;
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Powyższe, wskazane wprost w RODO przypadki mają charakter przykładowy, a zatem administrator co do zasady musi dokonać analizy każdego rodzaju przetwarzania pod kątem obowiązku przeprowadzenia oceny skutków ochrony danych.
Pomocnym narzędziem w ustaleniu katalogu rodzajów przetwarzania, dla których administrator będzie musiał przeprowadzić DPIA są także wytyczne Grupy Roboczej art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 (dalej: „WP 248”).
W dokumencie tym Grupa Robocza art. 29, w oparciu o treść przepisów i korespondujących motywów RODO, przedstawiła 9 kryteriów (dalej: „kryteria WP248”) wraz z przykładami, które mają pomóc ocenić, czy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Są to:
- ocena lub punktacja,
- automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku,
- systematyczne monitorowanie,
- dane wrażliwe lub dane o charakterze wysoce osobistym,
- dane przetwarzane na dużą skalę,
- dopasowywanie lub łączenie zbiorów danych,
- dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą,
- innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych,
- samo przetwarzanie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy”.
Grupa Robocza art. 29 wskazała, że co do zasady spełnienie dwóch powyższych kryteriów będzie związane z obowiązkiem przeprowadzenia DPIA. Logicznie rzecz biorąc – im więcej kryteriów, tym większe prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą, a więc konieczność przeprowadzenia DPIA niezależnie od środków stosowanych przez administratora.
Istnieją jednak sytuacje, kiedy administrator danych będzie miał jasno określone przypadki, dla których będzie musiał dokonać DPIA, gdyż zgodnie z art. 35 ust. 4 RODO krajowy organ nadzorczy ma obowiązek ustanowić wykaz rodzajów przetwarzania wymagających dokonania DPIA. Organ nadzorczy powinien taki wykaz przesłać do Europejskiej Rady Ochrony Danych (EROD), która publikuje zgłoszone wytyczne na swojej stronie internetowej.
Zgodnie z katalogiem wykazów znajdującym się na stronie EROD, dotychczas swój wykaz przesłały 22 państwa członkowskie UE i 4 państwa spoza UE (w tym Wielka Brytania, która jednak złożyła swój wykaz przed Brexitem).
Kiedy jeszcze administrator danych musi dokonać DPIA? Odpowiedzi na to pytanie udzieli Ci Marcin Kuźniak – nasz doświadczony doradca ds. ochrony danych. Skontaktuj się z nim, jeśli nie wiesz, jakie operacje przetwarzania wymagają DPIA
Omówione powyżej kryteria WP248 zostały w dużej części wykorzystane przez organy nadzorcze przy tworzeniu wykazów rodzajów przetwarzania, dla których konieczne jest DPIA. Przykładowo, wykaz chorwacki odwołuje się bezpośrednio do WP248 przy dwóch operacjach przetwarzania: przetwarzanie danych biometrycznych i genetycznych wraz z każdym innym kryterium z wytycznych Grupy art. 29. Praktyka organów pokazała także, że co do zasady dany rodzaj przetwarzania może się mieścić w kilku powyższych kryteriach (w ślad za wytycznymi). Przykładem mogą być rodzaje operacji przetwarzania z francuskiego wykazu, w którym wprost przyporządkowano co najmniej dwa kryteria do każdego rodzaju operacji, jak np. kryterium nr 1 połączone z kryterium nr 4: „przetwarzanie w celu zarządzania alertami i raportami dotyczącymi zgłaszania nieprawidłowości w sprawach zawodowych”.
Zatem już na tym etapie można stworzyć prosty algorytm obowiązku przeprowadzenia DPIA, np. jeśli mamy do czynienia z danymi biometrycznymi w celu identyfikacji danej osoby (kryt. 4), w przypadku osób wymagającej szczególnej opieki (kryt. 7), to występują dwa kryteria określone w WP248, które powodują konieczność przeprowadzenia DPIA.. Taki rodzaj przetwarzania można wprost spotkać w wykazach: francuskim, greckim, litewskim, maltańskim, niemieckim i węgierskim. Wiele wykazów zawiera jednak rodzaj przetwarzania wskazujący na dane biometryczne połączone z jednym z kryteriów WP248: chorwacki, irlandzki, luksemburski, łotewski, słowacki, słoweński, brytyjski. Podobna sytuacja ma miejsce z danymi genetycznymi.
W związku z powtarzalnym charakterem rodzajów operacji wymagających DPIA wskazywanych przez organy nadzorcze oraz faktem, że rodzaje te składają się z więcej niż jednego kryterium WP248, niezwykle trudno będzie przedstawić w krótkiej formie i w sposób usystematyzowany wszystkie operacje wskazywane przez organy nadzorcze. Dlatego też skupię się na wybranych problemach, które mogą być istotne dla większej liczby administratorów.
Monitoring wizyjny
Stosowanie monitoringu wizyjnego w Polsce wciąż zyskuje na popularności. Wspólnoty mieszkaniowe, zakłady pracy, galerie handlowe czy gminy ochoczo korzystają z dobrodziejstw monitoringu, często jednak ignorując obowiązki z nim związane. Mylnym założeniem jest, że samo oznaczenie monitoringu wyczerpuje obowiązki administratora danych osobowych nałożone przez RODO. Takim obowiązkiem może być przeprowadzenie DPIA.
Czeski wykaz wskazuje na monitoring wizyjny miejsc dostępnych publicznie. Tej charakterystyce procesu nadano dwie wartości, od których będzie zależał stopień ryzyka: jedna wskazująca na wysokie ryzyko – monitoring miejsc publicznych (stopień czerwony wg metodologii czeskiego organu), druga świadcząca o niskim ryzyku – monitoring miejsc z ograniczonym dostępem lub niedostępnych (stopień zielony).
Zgodnie z metodologią przyjętą przez czeski organ nadzorczy, aby obowiązek przeprowadzenia DPIA zaktualizował się, konieczne jest osiągnięcie stopnia czerwonego (świadczącego o wysokim ryzyku) przez dwie lub więcej charakterystyk operacji przetwarzania bądź osiągnięcia stopnia czerwonego przez jedną charakterystykę, przy czym 5 innych osiągnie poziom żółty (istotne ryzyko).
Ważne
W ocenie czeskiego organu duża skala może mieć miejsce w sytuacji:
- 10001 podmiotów danych lub więcej niż 0,01 % populacji Czech lub innych państw lub
- więcej niż 20 osób z dostępem do danych lub
- więcej niż 20 lokalizacji/oddziałów, gdzie dochodzi do przetwarzania danych,
- jednocześnie osoby, których dane dotyczą pochodzą/mieszkają w regionie na poziome NUTS 1 (w Polsce jest to 7 makroregionów, np. makroregion województwo mazowieckie).
W rezultacie DPIA będzie konieczne np. w przypadku, jeśli monitoring miejsc publicznych (stopień czerwony) będzie dokonywany na dużą skalę (stopień czerwony). Taki rodzaj przetwarzania będzie także spełniał inne charakterystyki z wykazu na poziomie żółtym (np. rozpoznawalność osób, których dane dotyczą).
Z kolei organ holenderski wskazuje rodzaj czynności: monitoring wizyjny na dużą skalę lub dokonywany w sposób systematyczny miejsc dostępnych publicznie przy użyciu kamer, kamer internetowych lub dronów.
Warto także wskazać, że wykaz holenderski zawiera ponadto rodzaj operacji obejmujący przetwarzanie na dużą skalę lub systematyczne przy użyciu elastycznego monitoringu wizyjnego, np. kamery na ubraniach lub kaskach służb ratowniczych (kamery nasobne), kamery samochodowe używane przez służby ratownicze.
Co więcej, na monitoring miejsc publicznych wskazuje wykaz litewski, gdzie wymienione jest przetwarzanie danych osobowych za pomocą monitoringu wizualnego, obejmującego teren nienależący do administratora danych.
Innymi wykazami obejmującymi monitoring miejsc publicznych lub prywatnych, ale dostępnych publicznie są m.in. wykaz łotewski, maltański, słowacki, słoweński, węgierski.
Ciekawym przykładem monitoringu wymagającego DPIA jest opisana przez organ austriacki operacja przetwarzania, której celem jest obserwacja, nadzór lub kontrola osób, których dane dotyczą, w szczególności przy środkach przetwarzania obrazu i dźwięku, która dotyczy kościołów, domów modlitwy i innych instytucji umożliwiających praktykę religijną w danej społeczności.
Biometria, dane lokalizacyjne i dane genetyczne
Elementem wspólnym dla wszystkich wykazów jest niewątpliwie zwrócenie uwagi na dane wrażliwe lub dane o charakterze wysoce osobistym, takie jak dane biometryczne, lokalizacyjne i genetyczne.
Co do zasady takie dane będą wymagały DPIA w przypadku ich przetwarzania w kontekście pozostałych kryteriów WP248 tj., gdy dane te będą wykorzystywane w celu ewaluacji danej osoby, na dużą skalę, przy użyciu innowacyjnych technologii, wobec osób wymagających szczególnej troski etc.
IoT i wearables
Coraz częściej nasze dane osobowe są przetwarzane przez urządzenia, które do niedawna nie miały wiele wspólnego z danymi osobowymi. Dziś nawet lodówka może przetwarzać dane dotyczące nawyków żywieniowych, zegarek może zbierać dane dotyczące zdrowia, a buty - dane geolokalizacyjne.
W przypadku takich urządzeń możemy mieć do czynienia z wieloma kryteriami WP248, w szczególności: 1, 3, 4, 6, 8.
Na kwestie Internetu Rzeczy i urządzeń ubieralnych niejednokrotnie zwracają uwagę w swych wykazach organy nadzorcze. Belgijski organ wymienia przetwarzanie na dużą skalę danych wygenerowanych przy pomocy urządzeń zawierających sensory, które wysyłają dane przy pomocy Internetu lub innymi podobnymi środkami, służące analizie lub przewidywaniu sytuacji ekonomicznej, zdrowotnej, preferencji osobistych, zainteresowań, wiarygodności lub zachowania, lokalizacji czy ruchów osób fizycznych. Jako przykład organ ten wymienia takie rozwiązania Internetu Rzeczy jak: smart TV, urządzenia smart home, zabawki, rozwiązania smart cities, inteligentne liczniki zużycia energii elektrycznej.
Powyższy rodzaj przetwarzania wraz z identycznymi lub podobnymi przykładami użyty jest w wykazie chorwackim, greckim, holenderskim i rumuńskim.
Na konieczność przeprowadzenia DPIA przy użyciu urządzeń Internetu Rzeczy lub urządzeń ubieralnych przy spełnieniu choć jednego z pozostałych kryteriów WP248 zwracają uwagę także inne organy nadzorcze, jak np. Prezes UODO, ICO czy organ włoski lub słoweński.
Ponadto wykaz niemiecki wskazuje na przetwarzanie danych zgodnie z art. 9 ust. 1 i art. 10 RODO, nawet jeśli nie jest ono dokonywane na dużą skalę, przez dostawców usług związanych z nowymi technologiami w celu ustalenia wydajności osób. Jako przykład zastosowania wskazano zcentralizowane magazynowanie danych pochodzących z sensorów zainstalowanych w opaskach sportowych lub smartfonach.
Organ belgijski wskazuje także na przykład implantów do automatycznego zbierania danych o zdrowiu.
Istotnym rodzajem przetwarzania w niniejszej kategorii może być wymienione przez organ grecki przetwarzanie na dużą skalę danych zawartych w dokumentach osobistych, pamiętnikach, notatkach z e-czytników i aplikacji lifeloggingowych, z możliwością robienia notatek i zawierających bardzo osobiste informacje.
Sygnaliści
W świetle zbliżającej się implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, tj. dyrektywy o ochronie sygnalistów, kwestia whistleblowingu będzie przybierała na znaczeniu.
Przetwarzanie danych osobowych w systemach do zgłaszania nieprawidłowości możemy znaleźć w wykazie fińskim, a także francuskim, gdzie wskazano dwa rodzaje operacji przetwarzania odnoszące się do whistleblowingu, a mianowicie: przetwarzanie alertów i raportów dotyczących zgłaszania nieprawidłowości na polu spraw społecznych i zdrowotnych oraz na polu spraw zawodowych. Te rodzaje czynności przetwarzania w ocenie fińskiego i francuskiego organu nadzorczego są samodzielną przesłanką przeprowadzenia DPIA.
Inaczej tę kwestię traktują wykazy polski i brytyjski, gdzie kwestie whistleblowingu są podane jako przykłady rodzajów czynności przetwarzania. W pierwszym przypadku jest to przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi, w drugim z kolei – ryzyko krzywdy fizycznej.
Art. 14 RODO – dane zbierane w sposób inny niż od osób, których dane dotyczą
Praktyczną doniosłość ma także, zauważone przez niektóre organy nadzorcze, zbieranie danych w sposób inny niż od osób, których dane dotyczą. Kwestia ta znana jest administratorom danych osobowych szczególnie z treści art. 14 RODO, który obliguje do informowania podmiotów danych w sytuacji, kiedy dane są uzyskane od innych podmiotów.
Według bułgarskiego organu nadzorczego, obowiązek przeprowadzenia DPIA powstaje, jeśli w danej operacji poinformowanie osoby, której dane dotyczą zgodnie z art. 14 RODO nie jest możliwe lub wymaga niewspółmiernego wysiłku, czy też uniemożliwia lub poważnie utrudnia realizację celów przetwarzania (zob. art. 14 ust. 5 lit. b RODO).
Podobnie ocenia to organ fiński, słowacki oraz brytyjski, wskazując, że w przypadku wyjątków z art. 14 ust. 5 lit. b RODO konieczne jest przeprowadzenie DPIA w sytuacji, kiedy przetwarzanie to spełnia choć jedno kryterium WP248.
Ocena pracowników i monitoring pracowniczy
Diagnoza zgodności RODO.
Zrób to sam
Niemiecki organ wymienia w swym wykazie operację przetwarzania danych osobowych na dużą skalę, dotyczących zachowania pracowników, które mogą być użyte w ocenie ich pracy ze prawnymi lub innymi podobnymi skutkami. Jako przykład organ wskazuje m.in. profile związane z przemieszczaniem się pracowników w oparciu o RFID, telefony komórkowe, GPS w celu ochrony personelu, mienia pracodawcy lub osoby trzeciej, koordynowania przydziału pracy w terenie.
Ponadto, z każdego analizowanego wykazu wynika, iż co do zasady systematyczne monitorowanie pracowników może stanowić podstawę przeprowadzenia DPIA. Przykładem może być francuski wykaz, w którym przetwarzanie w celu systematycznego monitoringu pracowników jest wprost wskazane jako operacja przetwarzania wymagająca DPIA. Organ nadzorczy przy tej operacji odwołuje się do dwóch kryteriów WP248: kryterium nr 3 oraz 7. Inne wykazy wymagają jednak dodatkowego kryterium, jak np. duża skala (wykaz estoński).
Szczególnym przypadkiem monitoringu pracowników może być operacja określana przez organ holenderski jako „tajne śledztwo”. Jest to przetwarzanie danych osobowych na dużą skalę lub poprzez systematyczne monitorowanie, gdzie informacje są zbierane w toku dochodzenia bez uprzedzenia osoby, której dane dotyczą. Organ wskazuje, że DPIA będzie także wymagane w przypadku ukrytego monitoringu wizyjnego, przeprowadzonego przez pracodawcę w kontekście kradzieży lub zapobieganiu oszustwom, nawet jeśli dotyczy to kwestii incydentalnych.
Wykaz holenderski wskazuje także na obowiązek przeprowadzenia DPIA w przypadku tworzenia udostępnianych innym podmiotom „czarnych list” pracowników, którzy dopuścili się bezprawnych działań.
Czynności niepodlegające obowiązkowi przeprowadzenia DPIA
Art. 35 ust. 5 RODO daje organom nadzorczym możliwość ustanowienia wykazu operacji przetwarzania, które nie będą podlegać obowiązkowi przeprowadzenia DPIA. Z rejestru wykazów opublikowanego przez EROD wynika, że z tej możliwości skorzystały dwa organy: francuski (osobny wykaz) i irlandzki (w ramach jednego wykazu).
Wśród istotnych wyjątków wymienionych przez CNIL można wskazać: przetwarzanie danych przez prawników w ramach praktyki indywidualnej, notariuszy, pojedynczych lekarzy w ramach opieki nad pacjentem, urzędników sądów gospodarczych, a także przetwarzanie w ramach HR-u przez pracodawców zatrudniających mniej niż 250 osób, z wyjątkiem sytuacji, kiedy stosowane jest profilowanie.
Praktyczną doniosłość ma także brak wymogu przeprowadzenia DPIA przy badaniu alkomatem w ramach transportu, które to badanie jest obowiązkowe z mocy prawa i ograniczone jedynie do zapobiegania prowadzenia pojazdów przez kierowców będących pod wypływem alkoholu.
Irlandzki wykaz operacji niewymagających DPIA nie jest tak szczegółowy jak wykaz francuski. Odnosi się do ogólnych przesłanek przeprowadzenia DPIA i wyjątków wskazanych w RODO (np. wykaz czynności niewymagających DPIA - art. 35 ust. 5, czy też wyjątek z art. 35 ust. 10 RODO), tj. m.in. przetwarzanie nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, przetwarzanie jest już autoryzowane przez organ nadzorczy lub wcześniejsze DPIA wykazało, że brak jest wysokiego ryzyka.
Podsumowanie
Celem powyższej analizy było w szczególności pokazanie administratorom, że istnieją źródła pomocne przy ocenie, czy dany proces będzie wymagał DPIA. Administrator danych osobowych może zatem w pierwszej kolejności porównać swój proces z wykazem opublikowanym przez Prezesa UODO, a kiedy to nie da jednoznacznej odpowiedzi, pomocne mogą być wykazy pozostałych organów nadzorczych w unijnym systemie ochrony danych (w tym także kraje spoza Unii, które recypowały RODO w ramach EOG oraz Wielka Brytania). W przypadku, gdy pozostałe wykazy nie wskażą na obowiązek przeprowadzenia DPIA, istotnym narzędziem będzie WP248 oraz określone tam kryteria. Ostatecznie należy sięgnąć wprost do RODO i art. 35, wraz korespondującymi motywami preambuły.
Większość wykazów wyraźnie podkreśla swój przykładowy charakter, a zatem nie stanowią one katalogu zamkniętego. Żaden z wykazów nie przekreśla treści art. 35 ust. 1 RODO, który nakłada na administratora danych osobowych obowiązek oceny, czy dany proces może powodować wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą.
Kiedy ostatnio
robiłeś analizę ryzyka?
Lektura wykazów może być także pomocna w celu poznania kierunku, w jakim będą szły organy nadzorcze przy badaniu procesów przetwarzania zachodzących u administratora danych osobowych pod kątem obowiązku DPIA. Szczególną doniosłość może mieć np. monitoring wizyjny miejsc publicznych.
Przykładowo: wspólnota mieszkaniowa instaluje monitoring wizyjny obejmujący teren należący do wspólnoty, ale także ogólnodostępny chodnik i drogę publiczną. Taki proces może spełniać kryteria WP248: 3 i 5, co zauważają także organy nadzorcze w swoich wykazach.
Powyższe oznacza, że podmioty stosujące monitoring wizyjny muszą wykazać się ostrożnością przy decydowaniu o zaniechaniu przeprowadzenia DPIA w tym procesie.
Z podobną ostrożnością należy także działać w przypadku monitoringu pracowników oraz ewaluacji ich pracy, gdyż są to osoby wymagające szczególnej opieki, a zatem co do zasady będzie spełnione jedno kryterium WP248.
Wykazy
Poniżej znajdą Państwo listę wykazów wraz z linkiem do strony internetowej EROD. W przypadku polskiego wykazu odnośnik prowadzi do właściwej pozycji Monitora Polskiego, a zatem wszystkie wykazy poza polskim będą w języku angielskim. Oryginały wykazów znaleźć można na stronach właściwych organów nadzorczych.