+48 71 346 70 70 wroclaw@bso-group.com

Blog

Blog

O nas

Kancelaria prawna we Wrocławiu Kancelaria prawna BSO Prawo & Podatki powstała w 2003 roku we Wrocławiu. Dzięki międzynarodowemu ...
Operacje przetwarzania danych osobowych wymagające oceny skutków

Operacje przetwarzania danych osobowych wymagające oceny skutków

22 lipca 2019
Marzena Hełmecka
Blog, Ochrona danych osobowych

Operacje przetwarzania danych osobowych wymagające oceny skutków

Napisz odpowiedź

RODO

Zgodnie z przepisami RODO przed rozpoczęciem przetwarzania należy ocenić skutki planowanych operacji przetwarzania dla ochrony danych osobowych. Jednak przeprowadzenie takiej oceny nie jest wymagane w każdej sytuacji. Obowiązek ten dotyczy tylko takiego przetwarzania danych osobowych, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To ryzyko jest większe, gdy dane są przetwarzane z  użyciem nowych technologii. Inne czynniki zwiększające ryzyko to duża skala przetwarzania (wpływ na sporą liczbę osób), profilowanie, czy przetwarzanie szczególnych kategorii danych osobowych oraz dotyczących wyroków skazujących, czynów zabronionych i środków bezpieczeństwa.

Jeśli w wyniku przeprowadzenia takiej oceny okaże się, że przetwarzanie powodowałoby wysokie ryzyko, to przed rozpoczęciem przetwarzania należy skonsultować się z Prezesem Urzędu Ochrony Danych Osobowych.

PUODO

Powyższe informacje nie są jednak wystarczająco precyzyjne. Przede wszystkim pojawia się pytanie o to, jakie dokładnie operacje przetwarzania wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W związku z tym Prezes Urzędu Ochrony Danych Osobowych opublikował wykaz kryteriów przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków przetwarzania dla ich ochrony. Obejmują one m. in.:

  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (np. dane dotyczące zdrowia pracowników czy o karalności)
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osób bądź kontroli dostępu (np. kontrola wejścia do budynku);
  • innowacyjne wykorzystanie rozwiązań technologicznych lub organizacyjnych (np. urządzenia typu smartwatch czy opaski przekazujące dane dostawcom przy użyciu aplikacji mobilnych);
  • przetwarzanie danych lokalizacyjnych (np. lokalizacja pracowników, pojazdy służbowe, kontrola pracy zdalnej, internet rzeczy).

Co do zasady, przetwarzanie spełniające przynajmniej dwa z wymienionych w wykazie kryteriów będzie wymagać oceny skutków dla ochrony danych (np. posiadanie dużej floty pojazdów służbowych albo pojazdów z urządzeniami monitorującymi stan zdrowia kierowców i lokalizację). Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji wymagana będzie ocena skutków dla ochrony danych. Jednak zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych w niektórych przypadkach można jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych w komunikacie kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. W związku z tym podjęcie decyzji co do konieczności sporządzenia oceny skutków pozostawiono administratorowi. Dopiero gdy PUODO poweźmie wątpliwość co do ryzyka danej operacji, może zażądać od administratora dowodu przeprowadzenia oceny skutków, np. w trakcie kontroli.

Autor
Szymon Goździk,
prawnik, specjalista ds. ochrony danych osobowych

Podziel się