Kiedy ocena skutków jest konieczna ? – I wykaz PUODO

7 września 2018 |

Wielu przedsiębiorców stawia sobie pytanie – tworzyć ocenę skutków dla ochrony danych czy też nie mam takiego obowiązku ? Prezes Urzędu Ochrony Danych Osobowych śpieszy jednak z pomocą. Opublikowano bowiem pierwszy wykaz rodzajów operacji przetwarzania wymagających oceny skutków. Co to takiego i jaka jest treść wykazu – o tym w dzisiejszym artykule.

 

 

 

Kilka słów o samej ocenie skutków

 

Ocena skutków dla ochrony danych została zawarta w art. 35 RODO. Zawsze gdy dane procesy przetwarzania, a zwłaszcza gdy w grę wchodzą nowe technologie, mogą z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator danych dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

 „Planowanych operacji” oznacza, że administrator musi dokonać oceny  przed rozpoczęciem danej operacji przetwarzania. Dokonując oceny samego procesu jak i tego czy może wystąpić duże prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności- administrator bierze pod uwagę charakter planowanego przetwarzania, jego zakres, kontekst oraz cel.

 

RODO wprost wskazuje na elementy jakie co najmniej powinna zawierać ocena skutków dla ochrony danych:

 

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

 

RODO w sposób  ogólny i przykładowy wskazuje sytuacje, kiedy to ocena skutków jest wymagana. Są to przypadki:

 

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10;

  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

 

Wykaz rodzajów operacji wynika z RODO

 

Zgodnie z RODO, a dokładnie z art. 35 ust 4, Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych. 

 

To nie jest jedyna kompetencja Organu nadzorczego w tym zakresie. Art. 35 ust 5 wskazuje na możliwość ustanowienia i podania do publicznej wiadomości wykazu rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Tak więc działania Organu nadzorczego w tym zakresie mogą być dwutorowe.

 

W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).

 

I Wykaz PUODO

 

24 sierpnia 2018 r. w Monitorze Polskim został ogłoszony Komunikat PUODO w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Pierwszy wykaz PUODO składa się z 9 kategorii rodzajów operacji przetwarzania, przy których ocena skutków jest obowiązkowa. Wykaz zawiera także przykłady operacji, w których  może wystąpić wysokie ryzyko naruszenia oraz przykłady potencjalnych obszarów obejmujących te operacje.

I wykaz nie zawiera jeszcze jednak czynności przetwarzania związanych z oferowaniem towarów lub usług osobom, których dane dotyczą oraz z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii. Można się go jednak spodziewać, bowiem jak zapowiada PUODO, wykaz ten zostanie ogłoszony po wydaniu opinii przez Europejską Radę Ochrony Danych.

 

Rodzaje operacji z I Wykazu PUODO

 

  1. Ewaluacja lub ocena w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych – dla przykładu wskazano profilowanie użytkowników portali społecznościowych i aplikacji, w celach wysyłania niezamówionej informacji handlowej; ocenę zdolności kredytowej przy użyciu algorytmów sztucznej inteligencji i przy żądaniu danych niemających bezpośredniego związku z oceną zdolności kredytowej. W tej grupie potencjalnych obszarów znalazły się media społecznościowe, urzędy pracy w zakresie profilowania bezrobotnych, banki i instytucje finansowe oraz firmy ubezpieczeniowe.
     

  2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki – dla przykładu wskazano monitorowanie zakupów i preferencji zakupowych w ramach programów marketingowych zawierających elementy profilowania osób.
     

  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości osób, które znajdą się w monitorowanej przestrzeni. Do tej grupy PUODO nie zalicza systemów monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa. W przykładach wskazano na systemy monitorowania czasu pracy pracowników oraz wykorzystywanych przez nich narzędzi (poczta elektroniczna) jak i na dane dotyczące zdrowia przetwarzane przez szpitale czy podmioty wykonujące badania jak i np. kluby fitness.
     

  4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych. Dotyczy to sytuacji nagrywania interwencji przez funkcjonariuszy służby mundurowej, przetwarzanie danych biometrycznych klientów lub pracowników w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu.
     

  5. Dane przetwarzane na dużą skalę (gdzie pojęcie dużej skali dotyczy liczby osób których dane są przetwarzane, zakresu przetwarzania, okresu przechowywania danych oraz geograficznego zakresu przetwarzania). W przykładach wskazano na centralne zbiory danych wspomagające zarządzanie określoną grupą osób w celach związanych z realizacją zadań publicznych , jak i dan zbierane w szerokim zakresie o przeglądanych stronach internetowych, zakupach, oglądanych programach itp.
     

  6. Prowadzenie porównań, ocen lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł. W przykładach wskazano na łączenie różnych zbiorów pochodzących z różnych źródeł.
     

  7. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami władczymi i/lub oceniającymi. Przykładowo wskazano na przetwarzanie danych, w których dokonuje się klasyfikacji lub ocen osób, których dane dotyczą, pod względem np. wieku, płci, a następnie klasyfikacje te wykorzystuje się do przedstawienia ofert lub innych działań, które mogą mieć wpływ na prawa i wolność osób, których dane są przetwarzane. Takich działań dokonują w ocenie PUODO serwisy oferujące pracę, które dokonują dopasowania ofert do określonych preferencji pracodawców.
     

  8. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych. Przykładem posłużyło stosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne
     

  9. Gdy przetwarzanie samo w sobie uniemożliwi osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy. PUODO jako przykład wskazał uzależnianie decyzji kredytowej dla potencjalnych klientów na podstawie informacji zawartych w bazach zawierających informacje o dłużnikach lub podobnych bazach danych.

 

Cały I Wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony dostępny jest pod adresem : http://monitorpolski.gov.pl/MP/2018/827/

 

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.


Skontaktuj się z doradcą

Porozmawiajmy

Ta strona wykorzystuje pliki cookies. Poprzez kliknięcie przycisku „Akceptuj", bądź „X", wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Więcej o możliwościach zmiany ich ustawień, w tym ich wyłączenia, przeczytasz w naszej Polityce prywatności.
AKCEPTUJ