Ułatwienie od francuskiego organu: lista przypadków, gdy dokonanie DPIA nie jest wymagane

Ocena skutków dla ochrony danych (DPIA) to kompleksowa analiza, której dokonanie ma pozytywny wpływ na ochronę danych, ale wymaga zaangażowania czasu i środków – zwłaszcza do wdrożenia rekomendacji. W artykule: „Ocena skutków dla ochrony danych (DPIA)" wyjaśniliśmy, kiedy ocena jest wymagana i jak jej dokonywać. Teraz francuski organ wprost wskazuje przypadki, gdy DPIA nie jest obowiązkowa.

Co zawiera publikacja francuskiego organu?

Pod koniec ubiegłego roku francuski organ nadzorczy, Commission Nationale de l'Informatique et des Libertés (CNIL), opublikował listę operacji przetwarzania, w których wymagana jest ocena skutków dla ochrony danych. Podobnie uczynił polski Prezes Urzędu Ochrony Danych Osobowych – lista takich operacji znajduje się tutaj. Obie listy są niekompletne w tym sensie, że nie wskazują wszystkich przypadków, gdy DPIA jest wymagana. w listach podano jedynie przykłady, kiedy na pewno takiej analizy trzeba dokonać. Kluczowa pozostaje identyfikacja czynników wskazanych w wytycznych Europejskiej Rady Ochrony Danych.

CZYTAJ WIĘCEJ: Ocena skutków dla ochrony danych (DPIA)

Korzystając z uprawnienia z art. 35 ust. 5 RODO, CNIL opublikował niedawno także listę przypadków, kiedy dokonanie DPIA nie jest wymagane. Poniżej prezentujemy jej wolne tłumaczenie (z zastrzeżeniem że dla podmiotów podlegających prawu francuskiemu wiążący jest oryginalny tekst).

Typ operacji przetwarzania danych Przykłady
Przetwarzanie prowadzone wyłącznie w celach zarządzania zasobami ludzkimi, pod warunkami określonymi prawem, jedynie w przypadku zarządzania personelem w organizacjach zatrudniających mniej
niż 250 osób
, z wykluczeniem profilowania.

Przetwarzanie pozwalające na:
  • zarządzanie listą płac, wydawanie odcinków wypłat,
  • zarządzanie szkoleniami,
  • zarządzanie stołówką pracowniczą, dostarczanie voucherów na posiłki,
  • zwrot wydatków służbowych,
  • kontrolę czasu pracy,
  • monitorowanie rozmów ws. ocen rocznych,
  • utrzymywanie obowiązkowych rejestrów,
  • wykorzystanie narzędzi komunikacji (wiadomości elektroniczne, telefonia, wideokonferencje, narzędzia współpracy online) bez wykorzystania profilowania i biometrii,
  • kontrolę czasu pracy (bez urządzeń biometrycznych, danych szczególnych kategorii lub o charakterze wysoce osobistym).

Przetwarzanie w ramach procesów
zarządzania relacjami z dostawcami.


Przetwarzanie pozwalające na:

  • przeprowadzenie czynności administracyjnych w zakresie umów, zamówień, odbiorów, przepisów, księgowości i rozliczenia zobowiązań,
  • sporządzenie dokumentów płatniczych (projekty, czeki, weksle itp.),
  • ustalenie statystyk finansowych i obrotów ze względu na dostawców,
  • zapewnienie wyboru dostawcy zgodnego z potrzebami biznesu lub organu,
  • prowadzenie dokumentacji dotyczącej dostawców.

Przetwarzanie danych w ramach wymogów dotyczących prowadzenia rejestru wyborców w gminach.


Przetwarzanie pozwalające na:

  • zarządzanie wnioskami o rejestrację na listach wyborców, które są przechowywane i przesyłane do urzędów miast, oraz postępowanie zgodnie z ich instrukcjami,
  • pouczanie wyborców i usuwanie ich z list w razie niespełniania stawianych warunków,
  • zarządzanie prośbami o przesyłanie i kopiowanie list wyborców.

Przetwarzanie związane z organizacją działalności rad zakładowych w ramach zakładu pracy.


Przetwarzanie pozwalające na:

  • zarządzanie społecznymi i kulturalnymi programami firmy oraz wewnętrzną komunikacją,
  • szkolenie wybranych osób,
  • korzystanie z prawa do ostrzeżenia na podstawie art. L2312-59 francuskiego kodeksu pracy,
  • zarządzanie terminarzami i spotkaniami,
  • zarządzanie członkami rad zakładowych.

Przetwarzanie prowadzone przez stowarzyszenie, fundację lub jakąkolwiek inną organizację non profit w celu zarządzania swoimi członkami w ramach normalnej działalności, z wyłączeniem przetwarzania danych szczególnych kategorii.


Przetwarzanie pozwalające na:

  • administracyjne zarządzanie członkami i darczyńcami, w szczególności zarządzanie datkami,
  • utworzenie, w odpowiedzi na potrzeby wynikające z zarządzania, statystyk lub statystycznej listy członków lub kontaktów, w szczególności w celu przysyłania biuletynów, zaproszeń, gazetek (jedynie w celach odpowiadających statutowym celom organizacji),
  • utworzenie katalogu członków, również gdy taki katalog udostępniany jest publicznie lub w Internecie,
  • wszelkie formy komunikacji dotyczącej działań poszukiwawczych z udziałem członków, darczyńców i potencjalnych zainteresowanych.

Przetwarzanie danych dotyczących zdrowia, konieczne do zapewnienia opieki medycznej przez osobę prowadzącą jednoosobową działalność leczniczą w ramach gabinetu lekarskiego, apteki lub laboratorium medycznego.


Przetwarzanie pozwalające na:

  • zarządzanie umawianiem wizyt,
  • zarządzanie dokumentacją medyczną i receptami,
  • zarządzanie aktami niezbędnymi do obserwacji pacjenta oraz utrzymywanie tych akt,
  • ustanowienie i elektroniczne przesyłanie kart opieki,
  • komunikację między ustalonymi członkami personelu biorącymi udział w leczeniu zainteresowanej osoby,
  • prowadzenie rachunków.

Przetwarzanie danych przez prawników w ramach prowadzenia jednoosobowej działalności gospodarczej.


Procesy zarządzania klientami, w tym z danymi osób wymagających szczególnej opieki (np. nieletnich).

Przetwarzanie danych przez urzędników sądowych w celu realizacji obowiązków służbowych.


Przetwarzanie pozwalające na:

  • kontrolę legalności aktów,
  • prowadzenie różnych rejestrów i katalogów prawnych.

Przetwarzanie danych przez notariuszy w celu prowadzenia działalności notarialnej i przygotowania dokumentów dla kancelarii notarialnych.


Przetwarzanie pozwalające na:

  • przesyłanie kopii i wyciągów z aktów stanu cywilnego na potrzeby urzędów stanu cywilnego i Ministerstwa Spraw Zagranicznych,
  • przechowywanie w imieniu klientów dokumentów wspierających ich wnioski o odliczenie od ogólnego dochodu lub o ulgi podatkowe, w kontekście roli przewidzianej dla notariuszy, jako zaufanej strony trzeciej, przez francuski ogólny kodeks podatkowy.

Przetwarzanie danych przez władze lokalne oraz podmioty prawa publicznego i prywatnego w celu zarządzania usługami w szkołach, przedszkolach i w ramach zajęć pozalekcyjnych.


Przetwarzanie pozwalające na:

  • wstępną rejestrację, rejestrację, monitorowanie i fakturowanie usług edukacyjnych: szkolnych, pozalekcyjnych, dodatkowych oraz wczesnoszkolnych (w przedszkolu i szkole podstawowej),
  • ewidencjonowanie dzieci podlegających obowiązkowej edukacji,
  • zapewnienie wyżywienia w szkole i poza nią, a także transportu szkolnego,
  • przyjmowanie dzieci na zajęcia i przeprowadzanie zajęć pozalekcyjnych i dodatkowych, zbiorowe odbieranie nieletnich,
  • organizowanie i finansowanie wycieczek szkolnych, krótkich pobytów szkolnych i zajęć poznawczych,
  • organizowanie opieki w placówkach i w ramach usług dla dzieci poniżej szóstego roku życia.

Przetwarzanie prowadzone wyłącznie w celu zarządzania kontrolą dostępu i ewidencji czasu pracy, odbywające się bez użycia jakichkolwiek urządzeń biometrycznymi oraz nieobejmujące danych wrażliwych lub danych o charakterze wysoce osobistym.


Przetwarzanie pozwalające na:

  • dostęp do pomieszczeń organizacji za pomocą identyfikatorów, bez wykorzystania danych biometrycznych,
  • wykorzystanie systemu monitorowania czasu pracy pracowników, z wyłączeniem przetwarzania tych danych w jakimkolwiek innym celu.

Przetwarzanie danych w związku z przeprowadzaniem badań alkomatem, w sposób ściśle określony przepisami i ramach usług transportowych, jedynie w celu zapobiegania prowadzeniu pojazdów pod wpływem alkoholu lub narkotyków.


Przetwarzanie, którego celem jest wprowadzenie rozwiązań antyalkoholowych w transporcie ciężarowym.

Francuski organ zaznacza, że w razie wątpliwości, czy dokonanie DPIA jest wymagane, zaleca się ją przeprowadzić.

Co oznacza brak obowiązku dokonywania DPIA?

Ocena skutków dla ochrony danych to proces, podczas którego identyfikujemy wagę i prawdopodobieństwo wystąpienia zagrożeń dla praw i wolności osób, których dane przetwarzamy. Sprawdzamy na przykład, czy w razie naruszenia bezpieczeństwa danych naszym klientom może grozić szkoda finansowa, wizerunkowa lub dyskryminacja. Bez dokonania takiej analizy mamy mniejszą pewność, czy występuje ryzyko naruszenia, i opieramy się głównie na doświadczeniach z przeszłości. z tego powodu szczególnie polecamy, żeby przeprowadzać DPIA przed rozpoczęciem nowych operacji przetwarzania.

CZYTAJ WIĘCEJ: Wymóg privacy by design

Brak obowiązku dokonywania DPIA oznacza jedynie, że jest mało prawdopodobne, aby konkretne operacje przetwarzania stanowiły wysokie ryzyko dla naruszenia praw osób fizycznych. Nie daje to jednak pewności, że takie ryzyko nie występuje. Trzeba pamiętać, że w razie naruszenia konsekwencje ponosi administrator.

Czytaj także:

Outsourcing funkcji Inspektora Ochrony Danych (IOD)

Outsourcing, czyli przekazanie funkcji IOD to sprawdzony sposób na optymalizację procesów i kosztów.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".