Formularz Pre-DPIA

W szczególności chodzi o ocenę lub punktację, w tym profilowanie i prognozowanie, na podstawie aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą.

Przykłady:

• Instytucja finansowa weryfikuje swoich klientów w referencyjnych bazach danych kredytowych, bazach związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu lub bazach zawierających informacje o nadużyciach finansowych.
• Przedsiębiorstwo biotechnologiczne oferuje konsumentom bezpośredni dostęp do badań genetycznych, służących ocenie i prognozowaniu ryzyka zdrowotnego, w tym wystąpienia chorób.
• Firma analizuje sposób korzystania ze swojej strony internetowej w celu tworzenia profili zachowań i profili marketingowych użytkowników.
• Dochodzi do profilowania użytkowników portali społecznościowych i aplikacji mobilnych w celu kierowania do nich spersonalizowanych treści marketingowych.
• Ocena zdolności kredytowej jest dokonywana przy użyciu algorytmów sztucznej inteligencji, z jednoczesnym pozyskiwaniem danych niemających bezpośredniego związku z tą oceną, mimo objęcia procesu obowiązkiem zachowania tajemnicy.
• Analiza informacji dotyczących stylu życia, sposobu odżywiania, prowadzenia pojazdów czy spędzania wolnego czasu — w celu m.in. ustalania lub podwyższania składek ubezpieczeniowych (tzw. optymalizacja składki).

Automatyczne podejmowanie decyzji to proces, w którym decyzje dotyczące osób fizycznych są podejmowane lub zatwierdzane bez jakiejkolwiek istotnej interwencji człowieka. Te decyzje opierają się na automatycznej analizie danych, często z wykorzystaniem algorytmów i technologii machine learning.

Termin „decyzja o skutku prawnym” odnosi się do decyzji, która ma bezpośredni wpływ na prawa, obowiązki lub status prawny osoby, której dane dotyczą. Przykłady to decyzje o przyznaniu kredytu, decyzje dotyczące zatrudnienia czy decyzje o ubezpieczeniach.

„Podobnie znaczący skutek” odnosi się do decyzji, które mogą nie mieć bezpośredniego skutku prawnego, ale mają znaczny wpływ na życie osobiste jednostki. Przykładowo automatyczne profilowanie na podstawie nawyków przeglądania internetu, które prowadzi do indywidualnej personalizacji ofert produktów lub usług, może mieć „podobnie znaczący skutek”.

Przykłady:

• Systemy monitoringu używane do zarządzania ruchem drogowym, które pozwalają na dokładną obserwację kierowców i ich zachowań – np. automatyczne rozpoznawanie tablic rejestracyjnych czy pobieranie opłat za wjazd do określonych stref.
• Systemy analizujące dane klientów w celu ustalenia ich preferencji zakupowych lub automatycznego dopasowania indywidualnych cen i promocji.
• Śledzenie historii zakupów oraz preferencji zakupowych klientów.
• Automatyczne podejmowanie decyzji dotyczących przyznania lub odmowy kredytu.
• Automatyczne podejmowanie decyzji dotyczących prawa do świadczeń socjalnych.
• Automatyczne podejmowanie decyzji o przyznaniu stypendium.
• Automatyczne podejmowanie decyzji dotyczących kwalifikacji zawodowych.

Ten punkt dotyczy sytuacji, w których dane osobowe są gromadzone w wyniku obserwowania, monitorowania lub kontrolowania osób, których te dane dotyczą. Ten proces może obejmować różne metody i technologie, takie jak monitoring CCTV, śledzenie lokalizacji za pośrednictwem urządzeń GPS, monitorowanie aktywności w sieci, np. śledzenie nawyków przeglądania czy analiza mediów społecznościowych.

Przykłady:

• Monitorowanie użytkowników usług publicznych z wykorzystaniem danych wykraczających poza niezbędny zakres. Przykład: Aplikacja urzędu miasta do rezerwacji wizyt zbiera dane o lokalizacji użytkownika, mimo że do realizacji usługi wystarczają jedynie podstawowe dane, takie jak imię, nazwisko i termin spotkania.
• Gromadzenie oraz przetwarzanie danych przez aplikacje instalowane na urządzeniach mobilnych, w tym zintegrowanych z mundurem, kaskiem lub innymi elementami wyposażenia osobistego użytkownika.
• Systemy śledzenia pojazdów, które komunikują się z otoczeniem – np. z innymi pojazdami lub infrastrukturą drogową.
• Wykorzystywanie technologii RFID (np. znaczników lub etykiet), jeśli mogą być one powiązane z konkretnymi osobami.
• Zautomatyzowane rozpoznawanie tablic rejestracyjnych, np. na autostradach, parkingach lub w strefach miejskich.
• Elektroniczne systemy w transporcie publicznym – np. kamery i bilety, które mogą ujawniać wzorce przemieszczania się pasażerów, oraz systemy poboru opłat rejestrujące dane lokalizacyjne.
• Przetwarzanie danych pasażerów, takich jak nazwisko czy trasa podróży (Passenger Name Record – PNR).
• Systemy automatycznie odrzucające wnioski lub usługi w przypadku osób znajdujących się na tzw. „czarnych listach” (np. przestępców).
• Monitoring wizyjny wydarzeń publicznych z wykorzystaniem dronów.
• Stały monitoring przestrzeni publicznej za pomocą kamer.
• Masowe lub systematyczne przetwarzanie danych osobowych przez organy ścigania w kontekście przestępstw lub wykroczeń.

Szczególne kategorie danych osobowych obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Wytyczne WP 248 wskazują, że oprócz szczególnych kategorii danych w rozumieniu art. 9 RODO i danych o wyrokach skazujących w rozumieniu art. 10 RODO szczególnie chronione powinny być także „dane wrażliwe” w powszechnym rozumieniu tego sformułowania. Za takie dane uznano w szczególności: dane finansowe, dane dotyczące lokalizacji, dane zawarte w prywatnych i osobistych notatkach.

Przykłady:

• Przetwarzanie danych dotyczących przynależności partyjnej lub preferencji wyborczych – zarówno przez instytucje publiczne, jak i podmioty prywatne.
• Regularne zbieranie danych pomiarowych, które pozwalają na obserwację stylu życia, przemieszczania się, zużycia mediów czy aktywności w internecie (np. dane geolokalizacyjne, dane z inteligentnych liczników, dane bilingowe).
• Przechowywanie dokumentacji medycznej przez szpitale.
• Przechowywanie szczegółowych danych o przestępcach przez prywatnych detektywów.
• Przetwarzanie bardzo osobistych danych, takich jak dokumenty tożsamości, prywatne wiadomości, notatki z e-czytników, wpisy w aplikacjach rejestrujących codzienną aktywność.
• Tworzenie lub wykorzystywanie baz danych zawierających informacje o przestępstwach i wykroczeniach.
• Rozwój lub modyfikacja systemów informatycznych w obszarze ochrony zdrowia (np. aplikacje medyczne, systemy e-zdrowia).
• Tworzenie nowych aplikacji mobilnych do monitorowania stanu zdrowia.
• Marketing bezpośredni oparty na szczególnych kategoriach danych, np. reklama leków lub suplementów zdrowotnych na podstawie danych z aplikacji zdrowotnych.
• Budowa interfejsów lub aplikacji umożliwiających dostęp do rejestrów przestępstw i wykroczeń.
• Wdrażanie lub wykorzystywanie systemów e-zdrowia, np. elektronicznej dokumentacji medycznej (EDM), e-recept, e-skierowań czy portali pacjenta umożliwiających dostęp do wyników badań i historii leczenia.
• Technologie rozpoznawania twarzy.
• Biometryczne uwierzytelnianie w urządzeniach mobilnych (np. odcisk palca, skan twarzy).
• Przeprowadzanie diagnoz medycznych.
• Wykonywanie testów DNA.
• Prowadzenie badań medycznych, w tym ocena prawdopodobieństwa wystąpienia chorób.

Przy ustalaniu, czy przetwarzanie odbywa się na dużą skalę, należy wziąć pod uwagę takie czynniki jak liczba osób, których dane dotyczą, procent określonej grupy społeczeństwa, zakres przetwarzanych danych osobowych, okres przetwarzania oraz zakres geograficzny przetwarzania danych osobowych. Pojęcie "dużej skali" nie posiada jednoznacznej liczbowej definicji i może się różnić w zależności od kontekstu i interpretacji. Orzecznictwo europejskich organów nadzorczych wskazuje na próby nadania temu pojęciu wymiernego charakteru, np. czeski organ nadzorczy podaje, że przetwarzanie danych 10 001 osób lub 0,01% populacji można uznać za przetwarzanie na dużą skalę. Więcej informacji na ten temat można znaleźć w naszym artykule.

Przykłady:

• Centralne bazy danych wykorzystywane do zarządzania określoną grupą osób w związku z realizacją zadań publicznych (np. rejestry obywateli, uczniów, pacjentów).
• Zbieranie szerokiego zakresu danych o aktywności użytkowników, takich jak przeglądane strony internetowe, historia zakupów, preferencje zakupowe czy oglądane programy telewizyjne i radiowe.
• Przetwarzanie danych pacjentów przez szpitale w ramach świadczenia usług medycznych i prowadzenia dokumentacji zdrowotnej.
• Zbieranie danych o trasach podróży pasażerów korzystających z miejskiego transportu publicznego (np. poprzez bilety elektroniczne lub karty miejskie).
• Śledzenie lokalizacji klientów w czasie rzeczywistym, np. przez międzynarodową sieć restauracji typu fast food w celu optymalizacji usług lub ofert promocyjnych.
• Przetwarzanie danych klientów przez banki i zakłady ubezpieczeń w ramach codziennej działalności operacyjnej (np. ocena ryzyka, zarządzanie relacjami z klientem).
• Wykorzystywanie danych osobowych przez wyszukiwarki internetowe do personalizacji reklam w oparciu o zachowania użytkownika (tzw. reklama behawioralna).
• Przetwarzanie danych przez dostawców usług telekomunikacyjnych (np. dane o połączeniach, wiadomościach, korzystaniu z internetu).
• Programy lojalnościowe, które gromadzą dane o zakupach i preferencjach klientów w celu oferowania zindywidualizowanych korzyści.
• Dane pochodzące z komunikacji elektronicznej, przetwarzane przez operatorów telekomunikacyjnych (np. lokalizacja, billing, historia połączeń).
• Ogólnokrajowe rejestry danych osobowych, prowadzone przez instytucje publiczne lub upoważnione podmioty (np. PESEL, CEIDG).
• Dane finansowe oraz informacje o korzystaniu z usług finansowych w bankach, kasach oszczędnościowych i innych instytucjach finansowych (np. historia transakcji, scoring kredytowy).

Dopasowywanie lub łączenie zbiorów danych odnosi się do łączenia danych pochodzących z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą. Przykłady takiego łączenia danych mogą obejmować zestawianie danych ubezpieczycieli z danymi o roszczeniach ubezpieczeniowych w celu analizy trendów i związków przyczynowo-skutkowych, zestawianie danych o absencji z danymi dotyczącymi płci, wieku i wykształcenia pracowników, analizę nawyków zakupowych lub nawyków korzystania z usług komunikacyjnych. Dopasowywanie lub łączenie zbiorów danych może przekraczać oczekiwania osób, których dane są przetwarzane, dlatego wymaga szczególnej ostrożności i przestrzegania zasad RODO.

Przykłady:

• Łączenie danych ubezpieczeniowych z informacjami o roszczeniach w celu analizy trendów, udziałów rynkowych oraz zależności przyczynowo-skutkowych (np. między rodzajem polisy a liczbą zgłoszonych szkód).
• Zestawianie danych o absencji pracowników z informacjami demograficznymi, takimi jak płeć, wiek czy poziom wykształcenia — w celu analizowania przyczyn nieobecności lub optymalizacji polityki HR.
• Analiza nawyków zakupowych i sposobów poruszania się, np. w celach marketingowych, planowania usług lub personalizacji ofert.
• Analiza zachowań użytkowników w komunikacji elektronicznej, w tym sposobu korzystania z urządzeń, przeglądania treści czy częstotliwości logowania.
• Analiza danych typu big data w rejestrach publicznych, np. łączenie informacji z rejestru dowodów osobistych, systemu ubezpieczeń społecznych oraz bazy osób korzystających z pomocy społecznej — co może prowadzić do ujawnienia wzorców zachowań, sytuacji zdrowotnej lub ekonomicznej danej osoby.

Zgodnie ze wskazaniami Europejskiej Rady Ochrony Danych (WP 248) chodzi tutaj w szczególności „o nierównowagę sił między osobami, których dane dotyczą, a administratorem”. Do osób wymagających szczególnej opieki zaliczono przede wszystkim:

Przykłady:

• dzieci
• pracowników w relacji z pracodawcą
• osoby chore psychicznie
• osoby ubiegające się o azyl
• migrantów
• osoby starsze
• pacjentów
• osoby o ograniczonej zdolności do czynności prawnych lub osoby nieposiadające zdolności do czynności prawnych

Zestawienie tego kryterium z tempem rozwoju technologii powoduje, że ta przesłanka coraz częściej może stanowić czynnik decydujący o obowiązkowym przeprowadzeniu DPIA. Na dzień oddawania do użytku tego formularza „innowacyjne wykorzystanie” może odnosić się do nowych sposobów przetwarzania danych, które są znacząco różne od tradycyjnych metod. Przykładem może być wykorzystanie sztucznej inteligencji do analizy danych, wprowadzenie zaawansowanego profilowania klientów za pomocą algorytmów machine learning czy wykorzystanie technologii blockchain do przechowywania danych.

Przykłady:

• Systemy zdalnego opomiarowania, które – ze względu na zakres i częstotliwość zbieranych danych – umożliwiają profilowanie osób lub grup (np. inteligentne liczniki energii, czujniki środowiskowe).
• Systemy analizy metadanych, np. przetwarzające dane zawarte w zdjęciach (takie jak geolokalizacja, czas wykonania, rodzaj urządzenia) w celu określania zachowań lub lokalizacji użytkownika.
• Systemy przetwarzające dane z urządzeń mobilnych i ubieralnych (smartwatche, opaski fitness, beacony), które analizują i przekazują informacje dostawcom usług za pośrednictwem aplikacji mobilnych.
• Urządzenia zintegrowane z interfejsami takimi jak mikrofon, kamera czy głośnik, które komunikują się przez sieci telekomunikacyjne i umożliwiają gromadzenie oraz przekazywanie danych (np. inteligentne głośniki, asystenci głosowi, systemy smart home).
• Urządzenia i usługi skierowane do dzieci, które przetwarzają dane osobowe, często bez pełnej świadomości użytkownika co do zakresu i celu ich wykorzystania.
• Konsultacje telemedyczne z ośrodkami poza UE, podczas których dochodzi do przekazywania wrażliwych danych medycznych do krajów trzecich.
• Zintegrowane systemy biometryczne, łączące technologię rozpoznawania twarzy z odczytem odcisku palca w celu zwiększenia poziomu bezpieczeństwa fizycznego (np. przy kontroli dostępu).
• Wykorzystywanie dronów, zbierających dane wizualne lub środowiskowe, często w sposób masowy lub bezpośrednio identyfikujący osoby fizyczne.
• Inteligentne systemy analizy wideo, które automatycznie rozpoznają obiekty, osoby lub zachowania (np. systemy monitoringu z funkcją detekcji twarzy, ruchu lub zdarzeń nietypowych).
• Systemy wykorzystujące sztuczną inteligencję (AI) do przetwarzania danych osobowych m.in. w celu profilowania użytkowników, podejmowania decyzji (np. scoringu kredytowego), wykrywania anomalii lub przewidywania zachowań.

Obejmuje to operacje przetwarzania, których celem jest umożliwienie osobom, których dane dotyczą, uzyskania dostępu do usługi lub zawarcia umowy, zmiana tego dostępu lub odmówienie dostępu.

Przykłady:

• Podejmowanie decyzji kredytowych wobec potencjalnych klientów na podstawie danych pochodzących z rejestrów dłużników lub innych baz informacji gospodarczej.
• Uzależnianie dostępu do usługi od informacji finansowych, takich jak dochody, miesięczne wydatki czy inne dane pozyskane w procesie profilowania użytkownika.
• Ogólnokrajowe elektroniczne systemy poboru opłat, w których możliwość korzystania z usługi (np. przejazdu) może być automatycznie zablokowana na podstawie danych systemowych (np. brak opłaty w systemie e-TOLL).

W niektórych przypadkach administrator danych może uznać, że przetwarzanie spełniające tylko jedno z wyżej wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. W szczególności dotyczy to sytuacji, gdy dana operacja przetwarzania znajduje się w wykazanie operacji przetwarzania wymagających DPIA opublikowanym przez Prezesa Urzędu Ochrony Danych Osobowych.