UODO opublikował nowy wykaz rodzajów operacji przetwarzania wymagających DPIA

Zgodnie z opublikowanym wykazem co do zasady przetwarzanie spełniające przynajmniej dwa ze wskazanych w nim kryteriów będzie wymagać oceny skutków dla ochrony danych (DPIA). W określonych sytuacjach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny.

Trzeba jednak pamiętać, że podane do publicznej wiadomości przez UODO przykłady operacji czy okoliczności, w których może wystąpić takie wysokie ryzyko, nie mają charakteru wyczerpującego. Mają one jedynie pomóc w lepszym zrozumieniu, a tym samym – łatwiejszym identyfikowaniu sytuacji faktycznych związanych z przetwarzaniem danych osobowych, w których będzie wymagane przeprowadzenie oceny skutków dla ochrony danych.

Wymagania RODO

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET
Zgodnie z RODO administrator – przed rozpoczęciem przetwarzania – dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Warto przypomnieć, że w RODO wskazano trzy sytuacje, kiedy w szczególności administrator danych jest zobowiązany do przeprowadzenia oceny skutków, tj.:

  1. gdy dochodzi do systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
  2. gdy dochodzi do przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i naruszeń prawa,
  3. gdy dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Kryteria wskazane przez UODO

Jakie zatem kryteria w ocenie UODO wskazują na potrzebę przeprowadzenia uprzedniej oceny skutków dla ochrony danych?

  • Gdy dokonujemy ewaluacji/oceny w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych, np. przy profilowaniu użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej, przy ocenie zdolności kredytowej, przy ocenie stylu życia (np. sposobu spędzania wolnego czasu) w celu podwyższenia składki ubezpieczeniowej czy przy profilowaniu pośrednim, polegającym na kierowaniu korzystniejszych ofert ubezpieczenia do pewnych grup zawodowych.
  • Gdy dokonujemy zautomatyzowanego podejmowania decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki, np. w systemach automatycznego pobierania opłat za wjazd czy ustalania cen promocyjnych na podstawie profilu.
  • Gdy dokonujemy systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie, wykorzystując elementy rozpoznawania cech lub właściwości obiektów znajdujących się w przestrzeni, np. w systemach monitorowania czasu pracy pracowników (np. przez karty dostępowe) czy przepływu informacji w wykorzystywanych przez nich narzędziach (jak poczta elektroniczna), przy przetwarzaniu informacji pozyskiwanych przez Internet rzeczy (jak opaski medyczne, smartwatche), w systemach komunikujących się typu maszyna – maszyna czy też przy przetwarzaniu danych dotyczących zdrowia pacjentów w szpitalach lub klientów klubów fitness.

Bezpłatna wiedza o RODO - korzystaj do woli!

  • Gdy dokonujemy przetwarzania szczególnych kategorii danych, a także danych dotyczących wyroków skazujących i czynów zabronionych, np. w przypadku danych dotyczących przynależności partyjnej czy preferencji wyborczych, regularnego przetwarzania danych pomiarowych umożliwiających obserwację stylu życia (geolokalizacja, zużywana energia, dane billingowe), a także przetwarzania przez serwisy internetowe, oferowanego do działań o charakterze czysto osobistym i domowym (jak np. usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcję robienia notatek oraz różne aplikacje typu life-logging).
  • Gdy dokonujemy przetwarzania danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, np. w systemach rozpoznawania twarzy, głosu, odcisków palców.
  • Gdy dokonujemy przetwarzania danych genetycznych, np. robiąc testy DNA.

GRATIS

Jak bezbłędnie przeprowadzić DPIA –
case study (Dr RODO)

Obejrzyj webinar
  • Gdy dokonujemy przetwarzania danych na dużą skalę (przy czym duża skala dotyczy liczby osób, których dane są przetwarzane, zakresu przetwarzania, okresu przechowywania danych oraz geograficznego zakresu przetwarzania), np. w centralnych systemach obsługi ubezpieczeń komunikacyjnych czy w serwisach subskrypcyjnych z materiałami wideo.
  • Gdy porównujemy, oceniamy lub wnioskujemy na podstawie analizy danych z różnych źródeł, np. gdy dochodzi do łączenia danych z różnych rejestrów (państwowych i/lub publicznych) przez firmy marketingowe w celu skierowania akcji marketingowych do określonej grupy klientów (w tym także profilowania) lub gdy zbierane są dane o przeglądanych stronach WWW czy zakupach dokonywanych przez Internet, a następnie dochodzi do tworzenia profilu na podstawie tak zebranych informacji.
  • Gdy dokonujemy przetwarzania danych osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi, np. w serwisach oferujących pracę, które dokonują dopasowania ofert do określonych preferencji pracodawców, czy w systemach służących do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem).
  • Gdy dokonujemy innowacyjnego wykorzystania rozwiązań technologicznych lub organizacyjnych, np. w systemach zdalnego opomiarowania, umożliwiających profilowanie (inteligentne liczniki), w systemach umożliwiających przetwarzanie metadanych, takich jak geolokalizacja zdjęć, czy w innych przetwarzających dane z urządzeń typu Internet rzeczy, w systemach stosowanych do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń przenośnych typu smartwatch, inteligentne opaski, beacony, w zabawkach interaktywnych
  • Gdy dokonujemy przetwarzania, które samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy, np. w przypadku podejmowania decyzji kredytowej na podstawie informacji w bazach dłużników czy w przypadku uzależnienia możliwości korzystania z usługi od informacji w zakresie dochodów.
  • Gdy dokonujemy przetwarzania danych lokalizacyjnych, np. w urządzeniach i aplikacjach wykorzystujących Internet rzeczy czy w kontekście pracy zdalnej.

Zmiany w stosunku do poprzedniego wykazu

W stosunku do starego wykazu usunięto profilowanie osób bezrobotnych w urzędach pracy oraz mobilny system monitoringu wykorzystywany przez funkcjonariuszy publicznych (np. policjantów), w tym nagrywanie przebiegu interwencji przy użyciu kamery zainstalowanej na mundurze.

Nowości, jakie się pojawiły, to przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, przetwarzanie danych genetycznych oraz przetwarzanie danych lokalizacyjnych.

Czytaj także:

-
4.65/5 (43) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>