Ułatwienie od francuskiego organu
lista przypadków, gdy dokonanie DPIA
nie jest wymagane

Szacowanie

Ocena skutków dla ochrony danych (DPIA) to kompleksowa analiza, której dokonanie ma pozytywny wpływ na ochronę danych, ale wymaga zaangażowania czasu i środków – zwłaszcza do wdrożenia rekomendacji.

W artykule: „Ocena skutków dla ochrony danych (DPIA)" wyjaśniliśmy, kiedy ocena jest wymagana i jak jej dokonywać. Teraz francuski organ wprost wskazuje przypadki, gdy DPIA nie jest obowiązkowa. 

 

Co zawiera publikacja francuskiego organu?

Pod koniec ubiegłego roku francuski organ nadzorczy, Commission Nationale de l'Informatique et des Libertés (CNIL), opublikował listę operacji przetwarzania, w których wymagana jest ocena skutków dla ochrony danych. Podobnie uczynił polski Prezes Urzędu Ochrony Danych Osobowych – lista takich operacji znajduje się tutaj. Obie listy są niekompletne w tym sensie, że nie wskazują wszystkich przypadków, gdy DPIA jest wymagana. w listach podano jedynie przykłady, kiedy na pewno takiej analizy trzeba dokonać. Kluczowa pozostaje identyfikacja czynników wskazanych w wytycznych Europejskiej Rady Ochrony Danych. co szczegółowo omówiliśmy w artykule: „Ocena skutków dla ochrony danych (DPIA)”.

Korzystając z uprawnienia z art. 35 ust. 5 RODO, CNIL opublikował niedawno także listę przypadków, kiedy dokonanie DPIA nie jest wymagane. Poniżej prezentujemy jej wolne tłumaczenie (z zastrzeżeniem że dla podmiotów podlegających prawu francuskiemu wiążący jest oryginalny tekst).

Typ operacji przetwarzania danych Przykłady
Przetwarzanie prowadzone wyłącznie w celach zarządzania zasobami ludzkimi, pod warunkami określonymi prawem, jedynie w przypadku zarządzania personelem w organizacjach zatrudniających mniej
niż 250 osób
, z wykluczeniem profilowania.

Przetwarzanie pozwalające na:
  • zarządzanie listą płac, wydawanie odcinków wypłat,
  • zarządzanie szkoleniami,
  • zarządzanie stołówką pracowniczą, dostarczanie voucherów na posiłki,
  • zwrot wydatków służbowych,
  • kontrolę czasu pracy,
  • monitorowanie rozmów ws. ocen rocznych,
  • utrzymywanie obowiązkowych rejestrów,
  • wykorzystanie narzędzi komunikacji (wiadomości elektroniczne, telefonia, wideokonferencje, narzędzia współpracy online) bez wykorzystania profilowania i biometrii,
  • kontrolę czasu pracy (bez urządzeń biometrycznych, danych szczególnych kategorii lub o charakterze wysoce osobistym).

Przetwarzanie w ramach procesów
zarządzania relacjami z dostawcami.


Przetwarzanie pozwalające na:

  • przeprowadzenie czynności administracyjnych w zakresie umów, zamówień, odbiorów, przepisów, księgowości i rozliczenia zobowiązań,
  • sporządzenie dokumentów płatniczych (projekty, czeki, weksle itp.),
  • ustalenie statystyk finansowych i obrotów ze względu na dostawców,
  • zapewnienie wyboru dostawcy zgodnego z potrzebami biznesu lub organu,
  • prowadzenie dokumentacji dotyczącej dostawców.

Przetwarzanie danych w ramach wymogów dotyczących prowadzenia rejestru wyborców w gminach.


Przetwarzanie pozwalające na:

  • zarządzanie wnioskami o rejestrację na listach wyborców, które są przechowywane i przesyłane do urzędów miast, oraz postępowanie zgodnie z ich instrukcjami,
  • pouczanie wyborców i usuwanie ich z list w razie niespełniania stawianych warunków,
  • zarządzanie prośbami o przesyłanie i kopiowanie list wyborców.

Przetwarzanie związane z organizacją działalności rad zakładowych w ramach zakładu pracy.


Przetwarzanie pozwalające na:

  • zarządzanie społecznymi i kulturalnymi programami firmy oraz wewnętrzną komunikacją,
  • szkolenie wybranych osób,
  • korzystanie z prawa do ostrzeżenia na podstawie art. L2312-59 francuskiego kodeksu pracy,
  • zarządzanie terminarzami i spotkaniami,
  • zarządzanie członkami rad zakładowych.

Przetwarzanie prowadzone przez stowarzyszenie, fundację lub jakąkolwiek inną organizację non profit w celu zarządzania swoimi członkami w ramach normalnej działalności, z wyłączeniem przetwarzania danych szczególnych kategorii.


Przetwarzanie pozwalające na:

  • administracyjne zarządzanie członkami i darczyńcami, w szczególności zarządzanie datkami,
  • utworzenie, w odpowiedzi na potrzeby wynikające z zarządzania, statystyk lub statystycznej listy członków lub kontaktów, w szczególności w celu przysyłania biuletynów, zaproszeń, gazetek (jedynie w celach odpowiadających statutowym celom organizacji),
  • utworzenie katalogu członków, również gdy taki katalog udostępniany jest publicznie lub w Internecie,
  • wszelkie formy komunikacji dotyczącej działań poszukiwawczych z udziałem członków, darczyńców i potencjalnych zainteresowanych.

Przetwarzanie danych dotyczących zdrowia, konieczne do zapewnienia opieki medycznej przez osobę prowadzącą jednoosobową działalność leczniczą w ramach gabinetu lekarskiego, apteki lub laboratorium medycznego.


Przetwarzanie pozwalające na:

  • zarządzanie umawianiem wizyt,
  • zarządzanie dokumentacją medyczną i receptami,
  • zarządzanie aktami niezbędnymi do obserwacji pacjenta oraz utrzymywanie tych akt,
  • ustanowienie i elektroniczne przesyłanie kart opieki,
  • komunikację między ustalonymi członkami personelu biorącymi udział w leczeniu zainteresowanej osoby,
  • prowadzenie rachunków.

Przetwarzanie danych przez prawników w ramach prowadzenia jednoosobowej działalności gospodarczej.


Procesy zarządzania klientami, w tym z danymi osób wymagających szczególnej opieki (np. nieletnich).

Przetwarzanie danych przez urzędników sądowych w celu realizacji obowiązków służbowych.


Przetwarzanie pozwalające na:

  • kontrolę legalności aktów,
  • prowadzenie różnych rejestrów i katalogów prawnych.

Przetwarzanie danych przez notariuszy w celu prowadzenia działalności notarialnej i przygotowania dokumentów dla kancelarii notarialnych.


Przetwarzanie pozwalające na:

  • przesyłanie kopii i wyciągów z aktów stanu cywilnego na potrzeby urzędów stanu cywilnego i Ministerstwa Spraw Zagranicznych,
  • przechowywanie w imieniu klientów dokumentów wspierających ich wnioski o odliczenie od ogólnego dochodu lub o ulgi podatkowe, w kontekście roli przewidzianej dla notariuszy, jako zaufanej strony trzeciej, przez francuski ogólny kodeks podatkowy.

Przetwarzanie danych przez władze lokalne oraz podmioty prawa publicznego i prywatnego w celu zarządzania usługami w szkołach, przedszkolach i w ramach zajęć pozalekcyjnych.


Przetwarzanie pozwalające na:

  • wstępną rejestrację, rejestrację, monitorowanie i fakturowanie usług edukacyjnych: szkolnych, pozalekcyjnych, dodatkowych oraz wczesnoszkolnych (w przedszkolu i szkole podstawowej),
  • ewidencjonowanie dzieci podlegających obowiązkowej edukacji,
  • zapewnienie wyżywienia w szkole i poza nią, a także transportu szkolnego,
  • przyjmowanie dzieci na zajęcia i przeprowadzanie zajęć pozalekcyjnych i dodatkowych, zbiorowe odbieranie nieletnich,
  • organizowanie i finansowanie wycieczek szkolnych, krótkich pobytów szkolnych i zajęć poznawczych,
  • organizowanie opieki w placówkach i w ramach usług dla dzieci poniżej szóstego roku życia.

Przetwarzanie prowadzone wyłącznie w celu zarządzania kontrolą dostępu i ewidencji czasu pracy, odbywające się bez użycia jakichkolwiek urządzeń biometrycznymi oraz nieobejmujące danych wrażliwych lub danych o charakterze wysoce osobistym.


Przetwarzanie pozwalające na:

  • dostęp do pomieszczeń organizacji za pomocą identyfikatorów, bez wykorzystania danych biometrycznych,
  • wykorzystanie systemu monitorowania czasu pracy pracowników, z wyłączeniem przetwarzania tych danych w jakimkolwiek innym celu.

Przetwarzanie danych w związku z przeprowadzaniem badań alkomatem, w sposób ściśle określony przepisami i ramach usług transportowych, jedynie w celu zapobiegania prowadzeniu pojazdów pod wpływem alkoholu lub narkotyków.


Przetwarzanie, którego celem jest wprowadzenie rozwiązań antyalkoholowych w transporcie ciężarowym.

Francuski organ zaznacza, że w razie wątpliwości, czy dokonanie DPIA jest wymagane, zaleca się ją przeprowadzić.

Usługa DPIA

Co oznacza brak obowiązku dokonywania DPIA?

Ocena skutków dla ochrony danych to proces, podczas którego identyfikujemy wagę i prawdopodobieństwo wystąpienia zagrożeń dla praw i wolności osób, których dane przetwarzamy. Sprawdzamy na przykład, czy w razie naruszenia bezpieczeństwa danych naszym klientom może grozić szkoda finansowa, wizerunkowa lub dyskryminacja. Bez dokonania takiej analizy mamy mniejszą pewność, czy występuje ryzyko naruszenia, i opieramy się głównie na doświadczeniach z przeszłości. z tego powodu szczególnie polecamy, żeby przeprowadzać DPIA przed rozpoczęciem nowych operacji przetwarzania (zob. artykuł: „Jak uwzględnić prywatność w fazie projektowania? o wymogu privacy by design dla tych, którzy wolą zapobiegać niż leczyć”).

Brak obowiązku dokonywania DPIA oznacza jedynie, że jest mało prawdopodobne, aby konkretne operacje przetwarzania stanowiły wysokie ryzyko dla naruszenia praw osób fizycznych. Nie daje to jednak pewności, że takie ryzyko nie występuje. Trzeba pamiętać, że w razie naruszenia konsekwencje ponosi administrator.

-
Udostępnij na: -

Najpopularniejsze

Najnowsze


Adw. dr Paweł Mielniczek
21 listopada 2019

Zapisz się na biuletyn

  • Najważniejsze informacje
  • Nowości, narzędzia, gratisy
  • Raz w miesiącu

Zapisz się