Co zawiera publikacja francuskiego organu?
Pod koniec ubiegłego roku francuski organ nadzorczy, Commission Nationale de l'Informatique et des Libertés (CNIL), opublikował listę operacji przetwarzania, w których wymagana jest ocena skutków dla ochrony danych. Podobnie uczynił polski Prezes Urzędu Ochrony Danych Osobowych – lista takich operacji znajduje się tutaj. Obie listy są niekompletne w tym sensie, że nie wskazują wszystkich przypadków, gdy DPIA jest wymagana. w listach podano jedynie przykłady, kiedy na pewno takiej analizy trzeba dokonać. Kluczowa pozostaje identyfikacja czynników wskazanych w wytycznych Europejskiej Rady Ochrony Danych.
Korzystając z uprawnienia z art. 35 ust. 5 RODO, CNIL opublikował niedawno także listę przypadków, kiedy dokonanie DPIA nie jest wymagane. Poniżej prezentujemy jej wolne tłumaczenie (z zastrzeżeniem że dla podmiotów podlegających prawu francuskiemu wiążący jest oryginalny tekst).
Typ operacji przetwarzania danych | Przykłady |
---|---|
Przetwarzanie prowadzone wyłącznie w celach zarządzania zasobami ludzkimi, pod warunkami określonymi prawem, jedynie w przypadku zarządzania personelem w organizacjach zatrudniających mniej niż 250 osób, z wykluczeniem profilowania. |
Przetwarzanie pozwalające na:
|
Przetwarzanie w ramach procesów zarządzania relacjami z dostawcami. |
|
Przetwarzanie danych w ramach wymogów dotyczących prowadzenia rejestru wyborców w gminach. |
|
Przetwarzanie związane z organizacją działalności rad zakładowych w ramach zakładu pracy. |
|
Przetwarzanie prowadzone przez stowarzyszenie, fundację lub jakąkolwiek inną organizację non profit w celu zarządzania swoimi członkami w ramach normalnej działalności, z wyłączeniem przetwarzania danych szczególnych kategorii. |
|
Przetwarzanie danych dotyczących zdrowia, konieczne do zapewnienia opieki medycznej przez osobę prowadzącą jednoosobową działalność leczniczą w ramach gabinetu lekarskiego, apteki lub laboratorium medycznego. |
|
Przetwarzanie danych przez prawników w ramach prowadzenia jednoosobowej działalności gospodarczej. |
|
Przetwarzanie danych przez urzędników sądowych w celu realizacji obowiązków służbowych. |
|
Przetwarzanie danych przez notariuszy w celu prowadzenia działalności notarialnej i przygotowania dokumentów dla kancelarii notarialnych. |
|
Przetwarzanie danych przez władze lokalne oraz podmioty prawa publicznego i prywatnego w celu zarządzania usługami w szkołach, przedszkolach i w ramach zajęć pozalekcyjnych. |
|
Przetwarzanie prowadzone wyłącznie w celu zarządzania kontrolą dostępu i ewidencji czasu pracy, odbywające się bez użycia jakichkolwiek urządzeń biometrycznymi oraz nieobejmujące danych wrażliwych lub danych o charakterze wysoce osobistym. |
|
Przetwarzanie danych w związku z przeprowadzaniem badań alkomatem, w sposób ściśle określony przepisami i ramach usług transportowych, jedynie w celu zapobiegania prowadzeniu pojazdów pod wpływem alkoholu lub narkotyków. |
Przetwarzanie, którego celem jest wprowadzenie rozwiązań antyalkoholowych w transporcie ciężarowym. |
Francuski organ zaznacza, że w razie wątpliwości, czy dokonanie DPIA jest wymagane, zaleca się ją przeprowadzić.
Co oznacza brak obowiązku dokonywania DPIA?
Ocena skutków dla ochrony danych to proces, podczas którego identyfikujemy wagę i prawdopodobieństwo wystąpienia zagrożeń dla praw i wolności osób, których dane przetwarzamy. Sprawdzamy na przykład, czy w razie naruszenia bezpieczeństwa danych naszym klientom może grozić szkoda finansowa, wizerunkowa lub dyskryminacja. Bez dokonania takiej analizy mamy mniejszą pewność, czy występuje ryzyko naruszenia, i opieramy się głównie na doświadczeniach z przeszłości. z tego powodu szczególnie polecamy, żeby przeprowadzać DPIA przed rozpoczęciem nowych operacji przetwarzania.
Brak obowiązku dokonywania DPIA oznacza jedynie, że jest mało prawdopodobne, aby konkretne operacje przetwarzania stanowiły wysokie ryzyko dla naruszenia praw osób fizycznych. Nie daje to jednak pewności, że takie ryzyko nie występuje. Trzeba pamiętać, że w razie naruszenia konsekwencje ponosi administrator.