Blog

Operacje przetwarzania danych osobowych wymagające oceny skutków

22 lipca 2019
Szymon Goździk
Blog, Ochrona danych osobowych

Operacje przetwarzania danych osobowych wymagające oceny skutków

RODO

Zgodnie z przepisami RODO przed rozpoczęciem przetwarzania należy ocenić skutki planowanych operacji przetwarzania dla ochrony danych osobowych. Jednak przeprowadzenie takiej oceny nie jest wymagane w każdej sytuacji. Obowiązek ten dotyczy tylko takiego przetwarzania danych osobowych, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To ryzyko jest większe, gdy dane są przetwarzane z  użyciem nowych technologii. Inne czynniki zwiększające ryzyko to duża skala przetwarzania (wpływ na sporą liczbę osób), profilowanie, czy przetwarzanie szczególnych kategorii danych osobowych oraz dotyczących wyroków skazujących, czynów zabronionych i środków bezpieczeństwa.

Jeśli w wyniku przeprowadzenia takiej oceny okaże się, że przetwarzanie powodowałoby wysokie ryzyko, to przed rozpoczęciem przetwarzania należy skonsultować się z Prezesem Urzędu Ochrony Danych Osobowych.

PUODO

Powyższe informacje nie są jednak wystarczająco precyzyjne. Przede wszystkim pojawia się pytanie o to, jakie dokładnie operacje przetwarzania wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W związku z tym Prezes Urzędu Ochrony Danych Osobowych opublikował wykaz kryteriów przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków przetwarzania dla ich ochrony. Obejmują one m. in.:

  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (np. dane dotyczące zdrowia pracowników czy o karalności)
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osób bądź kontroli dostępu (np. kontrola wejścia do budynku);
  • innowacyjne wykorzystanie rozwiązań technologicznych lub organizacyjnych (np. urządzenia typu smartwatch czy opaski przekazujące dane dostawcom przy użyciu aplikacji mobilnych);
  • przetwarzanie danych lokalizacyjnych (np. lokalizacja pracowników, pojazdy służbowe, kontrola pracy zdalnej, internet rzeczy).

Co do zasady, przetwarzanie spełniające przynajmniej dwa z wymienionych w wykazie kryteriów będzie wymagać oceny skutków dla ochrony danych (np. posiadanie dużej floty pojazdów służbowych albo pojazdów z urządzeniami monitorującymi stan zdrowia kierowców i lokalizację). Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji wymagana będzie ocena skutków dla ochrony danych. Jednak zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych w niektórych przypadkach można jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych w komunikacie kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. W związku z tym podjęcie decyzji co do konieczności sporządzenia oceny skutków pozostawiono administratorowi. Dopiero gdy PUODO poweźmie wątpliwość co do ryzyka danej operacji, może zażądać od administratora dowodu przeprowadzenia oceny skutków, np. w trakcie kontroli.

Autor
Szymon Goździk,
prawnik, specjalista ds. ochrony danych osobowych