Przetwarzanie danych lokalizacyjnych może oznaczać konieczność oceny skutków przetwarzania dla ochrony danych

17 czerwca br. Prezes Urzędu Ochrony Danych Osobowych („PUODO”) wydał komunikat w sprawie wykazu operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Podstawą wydania komunikatu jest art. 35 ust. 4 RODO, zgodnie z którym organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania, dla których trzeba ocenić skutki dla ochrony danych. Jednocześnie został uchylony wykaz, którego dotyczył komunikat PUODO z 17 sierpnia 2018 r. Nowy wykaz uwzględnia opinię wydaną przez Europejską Radę Ochrony Danych i obejmuje czynności przetwarzania danych osobowych związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich Unii Europejskiej.

Przygotowanie oceny skutków dla ochrony danych co do zasady będzie konieczne, jeżeli przetwarzanie danych osobowych spełnia przynajmniej dwa z kryteriów wskazanych w wykazie. Jednakże nie jest wykluczone, że taka ocena powinna być przygotowana, jeżeli przetwarzanie spełnia nawet jedno z wymienionych w wykazie kryteriów. Im więcej jednak kryteriów jest spełnionych, tym większe prawdopodobieństwo, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO). W takiej sytuacji ocena skutków planowanych operacji powinna być dokonana przed rozpoczęciem przetwarzania.

Wykaz zawiera zarówno rodzaje operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny, potencjalne obszary ich wystąpienia/zastosowania, jak i przykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania.

Najistotniejszą zmianą jest dodanie w nowym wykazie trzech nowych kategorii operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny. Są to:

  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu – chodzi m.in. o systemy rozpoznawania twarzy, weryfikację tożsamości w miejscu pracy w celu kontroli dostępu i systemy monitoringu wejść do określonych pomieszczeń,
  • przetwarzanie danych genetycznych – przede wszystkim przez laboratoria oraz inne podmioty oferujące diagnostykę genetyczną, np. testy DNA,
  • przetwarzanie danych lokalizacyjnych – m.in. przez urządzenia, aplikacje i platformy wykorzystujące Internet rzeczy; przetwarzanie danych w kontekście pracy w domu i pracy wykonywanej zdalnie oraz przetwarzanie danych lokalizacyjnych pracowników.

Należy podkreślić, że istnienie wykazu nie zwalnia administratora z obowiązku przeanalizowania wszelkich operacji przetwarzania danych osobowych w oparciu o pełną ocenę skutków dla ochrony danych (art. 35 ust. 1 RODO). Innymi słowy nie można przyjąć, że jeżeli przetwarzanie danych przez dany podmiot nie mieści się w kategoriach wskazanych w wykazie, to nie trzeba przygotowywać oceny skutków.

Niemniej jednak wykaz stanowi znaczące ułatwienie dla podmiotów przetwarzających dane osobowe przy podejmowaniu decyzji, czy powinny dokonać oceny skutków.

Katarzyna Szczudlik

Poprzedni wpis
Czy można podpisać umowę bez czytania?
Następny wpis
Samochody autonomiczne już wkrótce w okolicach Krakowa