Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Narzędzia  •  Test Kompatybilności

Interaktywny test kompatybilności

Planujesz rozpocząć przetwarzanie danych w nowym celu? Chcesz wykorzystać do tego dane, które już posiadasz?

Aby upewnić się, czy jest to możliwe, musisz przeprowadzić analizę zgodności celu przetwarzania danych (art. 6 ust. 4 RODO). Skorzystaj z naszego narzędzia, aby szybko i efektywnie ocenić, czy nowy cel przetwarzania jest zgodny z pierwotnym celem .

Zastrzeżenie
Radosław Radwan

Zastrzeżenie

Narzędzie do przeprowadzanie testu kompatybilności jest wzorowane na podejściu zaproponowanym przez Grupę Robocza art. 29 w Opini 03/2013 dotyczącej ograniczenia celu (Opinion 03/2013 on purpose limitation, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf).

Każda operacja przetwarzania to indywidualny przypadek, który może wymagać dodatkowych ustaleń, których nie przewiduje nasze narzędzie. Ostateczny wynik naszego testu wskazuje na prawdopodobieństwo zgodności celów. Jest to narzędzie pomocnicze i edukacyjne, wyjaśnienia zawarte w narzędziu nie stanowią porady prawnej.

Wynik testu nie powinien być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki i nie może pośrednie lub bezpośrednie korzystania z kalkulatora, w szczególności w postaci szkód obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.

Test kompatybilności - pytania i odpowiedzi

- + Czym jest zasada ograniczenia celu?

Zasada ograniczenia celu (art. 5 ust. 1 lit. b RODO) jest centralną zasadą przetwarzania danych osobowych. Z jednej strony wskazuje, że możemy zbierać dane jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach, a z drugiej, że dane te nie są przetwarzane dalej w sposób niezgodny z tymi celami.

- + Czy mogę przetwarzać dane dalej w innym celu, niż w którym zostały zebrane?

Zasada ograniczenia celu stanowi, że nowy cel nie może być niezgodny z dotychczasowym. Konieczna jest zatem ocena tej zgodności (test kompatybilności) jeszcze przed rozpoczęciem przetwarzania. Dopiero pozytywny wynik naszej oceny pozwoli nam na dalsze przetwarzanie.

- + Czy test kompatybilności jest obowiązkowy?

Motyw 50 RODO wskazuje, że przetwarzanie danych w innych celach niż tych, w których zostały zebrane, może być dokonywane „wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane”. Opinia 3/2013 w sprawie ograniczenia celu (WP 203) wskazuje jednak na sytuacje, kiedy zgodność jest oczywista, np. przyszły cel został wskazany w klauzuli informacyjnej w momencie zbierania danych. W takich przypadkach wykonanie i udokumentowanie testu nie jest obowiązkowe.

Nie musimy dokonywać oceny kompatybilności, jeśli zbieramy zgody na przetwarzanie w nowym celu bądź przetwarzanie w nowym celu jest obowiązkiem prawnym lub jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

Podobnie również w przypadku dalszego przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, zgodnie z art. 89 RODO.

- + Co to znaczy, że cel nie jest zgodny z dotychczasowym celem?

Niezgodny cel to taki, który nie będzie zgodny z rozsądnymi oczekiwaniami osoby, której dane dotyczą. W zrozumieniu pojęcia zgodności pomocne są czynniki wskazane w art. 6 ust. 4 i motywie 50 RODO. Zgodny cel to taki, który ma związek z dotychczasowym celem, wynika z relacji między administratorem a podmiotem danych, dane są ograniczone i adekwatne, przetwarzanie w nowym celu nie pogarsza znacznie sytuacji osoby i wdrożono dodatkowe środki minimalizujące ryzyka związane z nowym celem.

- + Co zrobić, jeśli nowy cel nie jest zgodny z dotychczasowym?

Przetwarzanie w celu niezgodnym z dotychczasowym jest niedopuszczalne. Nie można w takich sytuacjach założyć, że mamy do czynienia z oddzielnym celem i ominąć zakaz niezgodnego celu poprzez powołanie się na podstawy prawne z art. 6 ust. 1 RODO.

Negatywny wynik testu może być jednak przyczynkiem do ponownej oceny całego planowanego procesu przetwarzania. W takim wypadku można usunąć czynniki, które powodują, że wynik testu jest negatywny.

Test kompatybilności - analiza zgodności celu przetwarzania

Progres

Zasada ograniczenia celu przetwarzania danych osobowych mówi, że musisz jasno określić, w jakim celu będziesz przetwarzać dane, już w momencie ich zbierania. Cel ten musi być konkretny, jasny i prawnie uzasadniony. Jeśli chcesz użyć danych w nowym celu, musisz sprawdzić, czy jest on zgodny z pierwotnym celem, zgodnie z art. 6 ust. 4 RODO, używając naszego testu kompatybilności.

Nasze narzędzie powstało, aby ułatwić Ci ocenę zgodności nowego celu przetwarzania z pierwotnym.

Pomaga ono:

  • przeprowadzić test kompatybilności,
  • dokumentować ocenę oraz
  • dobrać odpowiednie środki techniczne i organizacyjne, zapewniając zgodność z RODO.

Inwentaryzacja

Aby przeprowadzić dokładną ocenę zgodności nowego celu przetwarzania danych z pierwotnym celem, musisz zebrać odpowiednie informacje. Prawidłowa inwentaryzacja danych jest kluczowa.

Wypełnienie tej tabeli pomoże Ci dokładnie porównać oba cele przetwarzania i ocenić ich zgodność.

Administrator danych

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Administrator danych: podaj nazwę administratora danych. Dane w nowym celu mogą być przetwarzane przez innego administratora. Przykładowo, dane mogą zostać wykorzystane we własnych celach przez procesora. Zobacz więcej

Cel przetwarzania

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Zdefiniowanie celu: opisz, w jakim celu dane były/będą wykorzystane.

Odpowiedz sobie na pytania: po co, dlaczego dane są przetwarzane?

Opis operacji przetwarzania

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Opis operacji przetwarzania: wymień działania wykonywane na danych w obecnym/przyszłym celu.

Podstawa prawna przetwarzania

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Podstawa prawna przetwarzania: wskaż podstawę prawną przetwarzania danych dla obu celów.

Kategorie danych (dane zwykłe)

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Kategorie danych (dane zwykłe): określ, jakie dane osobowe są przetwarzane.

Przykładowo: imię, nazwisko, adres e-mail, nr konta bankowego, nr telefonu, wizerunek, nr PESEL.

Kategorie danych wrażliwych

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Kategorie danych wrażliwych: wymień, jeśli dotyczy, jakie dane wrażliwe są przetwarzane.

Przykładowo: dane dotyczące zdrowia, dane dotyczące przynależności związkowej, czy religijnej.

Kategorie osób, których dane dotyczą

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Kategorie osób: określ, kogo dotyczą zebrane dane.

Przykładowo: klienci, użytkownicy, najemcy, studenci, pracownicy itd.

Odbiorcy danych

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Odbiorcy danych: wskaż, komu dane są/będą przekazywane.

Przykładowo: dostawcy oprogramowania, biuro rachunkowe, spółki z grupy kapitałowej, kontrahent itd.

Okres przechowywania danych

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Okres przechowywania danych: wskaż, jak długo dane są/będą przechowywane.

Czy zmiana celu wymaga oceny zgodności?

RODO wskazuje na sytuacje, kiedy ocena zgodności nowego celu ze starym nie jest konieczna. Odpowiedz na poniższe pytania. Jeśli na którekolwiek z nich odpowiesz „Tak”, dalsze wypełnianie formularza nie jest konieczne, ponieważ spełniasz wymagania dla nowego celu przetwarzania. Pamiętaj jednak, aby uzasadnić i udokumentować swoją decyzję.

Czy nowy cel jest realizowany na podstawie zgody osoby, której dane dotyczą?

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Sprawdź, czy masz bądź będziesz miał/a zgodę na przetwarzanie danych w nowym celu.

Czy nowy cel jest realizowany w oparciu o przepisy prawa nakładające taki obowiązek na ADO?

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Zweryfikuj, czy przetwarzanie danych wynika z obowiązku prawnego.

Czy nowy cel przetwarzania jest realizowany na podstawie kompetencji określonych w prawie?

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Upewnij się, że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi

Czy nowym celem przetwarzania są: badania naukowe, historyczne lub cele statystyczne, a przetwarzanie jest zgodne z art. 89 RODO?

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Sprawdź, czy przetwarzanie danych mieści się w ramach badań naukowych, historycznych lub statystycznych zgodnie z art. 89 RODO.

Ocena zgodności nowego celu

Jeżeli nie masz żadnej z podstaw prawnych przetwarzania wskazanych w poprzednim kroku, kontynuuj wypełnianie formularza. Prawidłowe określenie nowego celu jest kluczowe dla zgodnego przetwarzania danych.

Upewnij się, że każdy z poniższych punktów jest spełniony, aby osiągnąć kompatybilność. Jeśli któryś z punktów nie zostanie spełniony, nie będziemy w stanie zapewnić zgodności przetwarzania z nowym celem.

Ocena konkretności celu

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Konkretny cel przetwarzania danych to taki, który pozwala nam ocenić zgodność przetwarzania z prawem i dobrać odpowiednie środki ochrony danych. Dzięki jasno określonemu celowi możemy wyznaczyć granice operacji przetwarzania, co pomaga odróżnić jedną operację od drugiej. Oznacza to, że każdy proces przetwarzania ma jasno określony zakres i cel, co ułatwia jego zarządzanie i monitorowanie zgodności z przepisami RODO. Posiadanie konkretnego celu pomaga również w zapewnieniu przejrzystości i rzetelności przetwarzania danych, co jest kluczowe dla ochrony praw osób, których dane dotyczą.

Przykłady:

Cel niekonkretny - ulepszanie doświadczenia użytkownika

Cel konkretny - analiza zachowań użytkowników przy pomocy plików cookies i wyciąganie z niej wniosków pozwalających na ulepszenie doświadczeń użytkownika

Cel niekonkretny - cele marketingowe

Cel konkretny - przesyłanie informacji marketingowych w formie newslettera na wskazany przez klienta adres e-mail

Cel niekonkretny - bezpieczeństwo

Cel konkretny - zapewnienie bezpieczeństwa osób i mienia poprzez całodobowy monitoring wizyjny

Ocena wyraźności celu

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Cel przetwarzania danych powinien być jasny i zrozumiały dla wszystkich zaangażowanych stron: administratora danych, jego pracowników, inspektora ochrony danych, osób, których dane dotyczą, oraz organu nadzorczego. Dzięki temu wszyscy mogą lepiej zrozumieć, dlaczego dane są zbierane i przetwarzane, co zwiększa przejrzystość i zgodność z przepisami RODO.

Przykłady:

Cel niewyraźny - cel został ustalony jedynie w formie ustnej pomiędzy pracownikami

Cel wyraźny - cel został odpowiednio udokumentowany i zakomunikowany

Cel niewyraźny - w klauzuli informacyjnej wskazano cel „rekrutacja na dane stanowisko”, jakkolwiek ukryto fakt, że przebiega przy użyciu algorytmów, które skutkują automatycznym podejmowaniem decyzji.

Cel wyraźny - klauzula zawiera informacje automatycznym podejmowaniu decyzji

Cel niewyraźny - cele zostały zakomunikowane w sposób celowo niejednoznaczny i mylący

Cel wyraźny - cele są wskazane jasnym i prostym językiem, dostosowanym do odbiorcy.

Ocena, czy cel jest prawnie uzasadniony

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Ten wymóg dotyczy nie tylko zgodności przetwarzania danych z art. 6 RODO, ale także z innymi obowiązującymi przepisami. Upewnienie się, że cel przetwarzania danych jest zgodny z całością przepisów prawa, jest kluczowe dla zapewnienia pełnej legalności i ochrony danych osobowych.

Przykłady:

Cel nieuzasadniony - dane są przetwarzane w celu wysyłania niezamówionej reklamy na e-maila

cel prawnie uzasadniony - użytkownik zgodził się na otrzymywanie reklam na e-maila

Cel nieuzasadniony - dane są przetwarzane w celu popełnienia przestępstwa spoofingu

cel prawnie uzasadniony - dane są przetwarzane w celach niezabronionych prawem

Cel nieuzasadniony - podstawą przetwarzania danych konsumenta są nieuczciwe wzorce umowne

cel prawnie uzasadniony - dane są przetwarzane zgodnie z prawem konsumenckim

Szczegółowa analiza kompatybilności

Art. 6 ust. 4 RODO wskazuje na pięć przykładowych czynników kontekstowych, które powinniśmy brać pod uwagę podczas naszej analizy. Są to:

  • wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
  • kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
  • charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 RODO lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa zgodnie z art. 10 RODO;
  • ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
  • istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Opisz relację między nowym celem a starym

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Kluczową kwestią dla kompatybilności jest "bliskość" nowego celu z dotychczasowym. Jeśli nowy cel wynika w sposób oczywisty z dotychczasowego, istnieje większe prawdopodobieństwo, że będzie zgodny. Na przykład, jeśli ktoś nie zapłacił za usługę, logiczną konsekwencją będzie windykacja i dochodzenie roszczeń.

Opisz kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem.

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Istotą tego punktu jest ustalenie, na ile osoba, której dane dotyczą, może spodziewać się przetwarzania w nowym celu. Ważne jest, aby przetwarzanie danych nie było dla niej zaskoczeniem. Możesz rozważyć następujące kwestie:

  • Jaki charakter ma relacja między administratorem a osobą, której dane dotyczą (klient, pracownik, kontrahent, dłużnik, konsument, odwiedzający stronę internetową)?
  • Jak wygląda równowaga sił w tej relacji (np. pracodawca-pracownik, partnerzy biznesowi, właściciel strony internetowej-użytkownik)?
  • Czy przetwarzanie jest związane ze świadczeniem usługi?
  • Czy dotychczasowe przetwarzanie było dostatecznie przejrzyste?
Charakter danych: zaznacz kategorie danych o największej wadze ryzyka.

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Przykładowo, jeśli przetwarzasz dane zwykłe lub dane wysoce osobiste i dane szczególnych kategorii zaznacz "dane wrażliwe".

Na tym etapie już wiesz, jakie rodzaje danych są przetwarzane w dotychczasowym celu i jakie dane będą przetwarzane w nowym celu. Teraz zastanów się, czy przetwarzasz dane szczególnych kategorii, dane dotyczące wyroków skazujących oraz dane, które ze względu na swój kontekst wymagają większej uwagi (np. dane dotyczące lokalizacji, treści korespondencji, finansów, zachowań). Im większa wrażliwość danych, tym bardziej ograniczona jest kompatybilność nowego celu z dotychczasowym.

Konsekwencje oraz środki zaradcze

Jeśli przeanalizujesz wszystkie zebrane okoliczności, w tym cykl życia danych, ich rodzaje, kategorie osób i sposób przetwarzania, ocenisz, jaki wpływ przetwarzanie ma na osoby. Powyżej oceniłeś trzy czynniki. Jeśli wynik analizy nie jest najwyższy, przetwarzanie w nowym celu może mieć negatywne skutki.

Na przykład, jeśli nowy cel będzie realizowany przez tego samego administratora, osoby mogą się spodziewać nowego celu, a cel jest odpowiednio zakomunikowany. Administrator nie przetwarza większej ilości danych niż konieczne, a dane nie mają szczególnego charakteru, więc jest większe prawdopodobieństwo kompatybilności z mniejszym negatywnym wpływem, niż gdyby te okoliczności były inne. Ocena konsekwencji może również uwzględniać pozytywne skutki.

Jeśli przetwarzanie w nowym celu może mieć negatywne skutki dla osób, należy wdrożyć środki, które załagodzą zmianę celu. Zastanów się, jakie środki pomogą osiągnąć rzetelne przetwarzanie z mniejszym wpływem na osoby, których dane dotyczą. Wskaż stwierdzone konsekwencje oraz środki, które zastosujesz, aby je zmniejszyć. Na koniec oceń stopień negatywnego wpływu przetwarzania na osobę. Wysoki wpływ to wynik najmniej korzystny, niski wpływ jest wynikiem najkorzystniejszym.

Wskaż negatywne konsekwencje i jak im zaradzisz

Jeśli nie wiesz, jak odpowiedzieć – przeczytaj podpowiedź

Przykłady:

Przetwarzanie danych osobowych przez nowego administratora w niejasnym celu.

Środek zaradczy: umowne uregulowanie udostępnienia danych, przekazywanie danych zanonimizowanych.

Brak świadomości nowego celu przez osoby, których dane dotyczą

Środek zaradczy: wcześniejsza komunikacja wyjaśniająca zmianę celu i przejrzysta informacja o przetwarzaniu danych osobowych.

Przetwarzanie danych nadmiarowych.

Środek zaradczy: przegląd zbieranych danych i zmiana zakresu danych, które mają być przetwarzane w nowym celu.

Udostępnienie danych nieograniczonej liczbie osób.

Środek zaradczy: wprowadzenie zasady wiedzy koniecznej, pseudonimizacja, zmiana ustawień prywatności w systemie, zablokowanie domyślnego konta publicznego.

Podsumowanie

„Sami możemy rozwiązać wątpliwości związane z RODO”

Jesteś tego pewien?

Zamów
wsparcie

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").

Zamknij
Szukaj w ODO24.pl

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).