UODO opublikował nowy wykaz rodzajów operacji przetwarzania wymagających DPIA

Zgodnie z opublikowanym wykazem co do zasady przetwarzanie spełniające przynajmniej dwa ze wskazanych w nim kryteriów będzie wymagać oceny skutków dla ochrony danych (DPIA). W określonych sytuacjach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny.

Trzeba jednak pamiętać, że podane do publicznej wiadomości przez UODO przykłady operacji czy okoliczności, w których może wystąpić takie wysokie ryzyko, nie mają charakteru wyczerpującego. Mają one jedynie pomóc w lepszym zrozumieniu, a tym samym – łatwiejszym identyfikowaniu sytuacji faktycznych związanych z przetwarzaniem danych osobowych, w których będzie wymagane przeprowadzenie oceny skutków dla ochrony danych.

Wymagania RODO

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Zgodnie z RODO administrator – przed rozpoczęciem przetwarzania – dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Warto przypomnieć, że w RODO wskazano trzy sytuacje, kiedy w szczególności administrator danych jest zobowiązany do przeprowadzenia oceny skutków, tj.:

  1. gdy dochodzi do systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
  2. gdy dochodzi do przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i naruszeń prawa,
  3. gdy dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Kryteria wskazane przez UODO

Jakie zatem kryteria w ocenie UODO wskazują na potrzebę przeprowadzenia uprzedniej oceny skutków dla ochrony danych?

  • Gdy dokonujemy ewaluacji/oceny w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych, np. przy profilowaniu użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej, przy ocenie zdolności kredytowej, przy ocenie stylu życia (np. sposobu spędzania wolnego czasu) w celu podwyższenia składki ubezpieczeniowej czy przy profilowaniu pośrednim, polegającym na kierowaniu korzystniejszych ofert ubezpieczenia do pewnych grup zawodowych.
  • Gdy dokonujemy zautomatyzowanego podejmowania decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki, np. w systemach automatycznego pobierania opłat za wjazd czy ustalania cen promocyjnych na podstawie profilu.
  • Gdy dokonujemy systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie, wykorzystując elementy rozpoznawania cech lub właściwości obiektów znajdujących się w przestrzeni, np. w systemach monitorowania czasu pracy pracowników (np. przez karty dostępowe) czy przepływu informacji w wykorzystywanych przez nich narzędziach (jak poczta elektroniczna), przy przetwarzaniu informacji pozyskiwanych przez Internet rzeczy (jak opaski medyczne, smartwatche), w systemach komunikujących się typu maszyna – maszyna czy też przy przetwarzaniu danych dotyczących zdrowia pacjentów w szpitalach lub klientów klubów fitness.

Bezpłatna wiedza o RODO - korzystaj do woli!

  • Gdy dokonujemy przetwarzania szczególnych kategorii danych, a także danych dotyczących wyroków skazujących i czynów zabronionych, np. w przypadku danych dotyczących przynależności partyjnej czy preferencji wyborczych, regularnego przetwarzania danych pomiarowych umożliwiających obserwację stylu życia (geolokalizacja, zużywana energia, dane billingowe), a także przetwarzania przez serwisy internetowe, oferowanego do działań o charakterze czysto osobistym i domowym (jak np. usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcję robienia notatek oraz różne aplikacje typu life-logging).
  • Gdy dokonujemy przetwarzania danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, np. w systemach rozpoznawania twarzy, głosu, odcisków palców.
  • Gdy dokonujemy przetwarzania danych genetycznych, np. robiąc testy DNA.
  • Gdy dokonujemy przetwarzania danych na dużą skalę (przy czym duża skala dotyczy liczby osób, których dane są przetwarzane, zakresu przetwarzania, okresu przechowywania danych oraz geograficznego zakresu przetwarzania), np. w centralnych systemach obsługi ubezpieczeń komunikacyjnych czy w serwisach subskrypcyjnych z materiałami wideo.
  • Gdy porównujemy, oceniamy lub wnioskujemy na podstawie analizy danych z różnych źródeł, np. gdy dochodzi do łączenia danych z różnych rejestrów (państwowych i/lub publicznych) przez firmy marketingowe w celu skierowania akcji marketingowych do określonej grupy klientów (w tym także profilowania) lub gdy zbierane są dane o przeglądanych stronach WWW czy zakupach dokonywanych przez Internet, a następnie dochodzi do tworzenia profilu na podstawie tak zebranych informacji.
  • Gdy dokonujemy przetwarzania danych osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi, np. w serwisach oferujących pracę, które dokonują dopasowania ofert do określonych preferencji pracodawców, czy w systemach służących do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem).
  • Gdy dokonujemy innowacyjnego wykorzystania rozwiązań technologicznych lub organizacyjnych, np. w systemach zdalnego opomiarowania, umożliwiających profilowanie (inteligentne liczniki), w systemach umożliwiających przetwarzanie metadanych, takich jak geolokalizacja zdjęć, czy w innych przetwarzających dane z urządzeń typu Internet rzeczy, w systemach stosowanych do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń przenośnych typu smartwatch, inteligentne opaski, beacony, w zabawkach interaktywnych
  • Gdy dokonujemy przetwarzania, które samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy, np. w przypadku podejmowania decyzji kredytowej na podstawie informacji w bazach dłużników czy w przypadku uzależnienia możliwości korzystania z usługi od informacji w zakresie dochodów.
  • Gdy dokonujemy przetwarzania danych lokalizacyjnych, np. w urządzeniach i aplikacjach wykorzystujących Internet rzeczy czy w kontekście pracy zdalnej.

Zmiany w stosunku do poprzedniego wykazu

W stosunku do starego wykazu usunięto profilowanie osób bezrobotnych w urzędach pracy oraz mobilny system monitoringu wykorzystywany przez funkcjonariuszy publicznych (np. policjantów), w tym nagrywanie przebiegu interwencji przy użyciu kamery zainstalowanej na mundurze.

Nowości, jakie się pojawiły, to przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, przetwarzanie danych genetycznych oraz przetwarzanie danych lokalizacyjnych.

Czytaj także:

-
4.65/5 (43) 1

Szkolenie RODO od podstaw

Szkolenie dla osób, które zaczynają swoją „przygodę” z RODO i z funkcją inspektora ochrony danych.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".