Przetwarzanie danych lokalizacyjnych może oznaczać konieczność oceny skutków przetwarzania dla ochrony danych
17 czerwca br. Prezes Urzędu Ochrony Danych Osobowych („PUODO”) wydał komunikat w sprawie wykazu operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Podstawą wydania komunikatu jest art. 35 ust. 4 RODO, zgodnie z którym organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania, dla których trzeba ocenić skutki dla ochrony danych. Jednocześnie został uchylony wykaz, którego dotyczył komunikat PUODO z 17 sierpnia 2018 r. Nowy wykaz uwzględnia opinię wydaną przez Europejską Radę Ochrony Danych i obejmuje czynności przetwarzania danych osobowych związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich Unii Europejskiej.
Przygotowanie oceny skutków dla ochrony danych co do zasady będzie konieczne, jeżeli przetwarzanie danych osobowych spełnia przynajmniej dwa z kryteriów wskazanych w wykazie. Jednakże nie jest wykluczone, że taka ocena powinna być przygotowana, jeżeli przetwarzanie spełnia nawet jedno z wymienionych w wykazie kryteriów. Im więcej jednak kryteriów jest spełnionych, tym większe prawdopodobieństwo, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO). W takiej sytuacji ocena skutków planowanych operacji powinna być dokonana przed rozpoczęciem przetwarzania.
Wykaz zawiera zarówno rodzaje operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny, potencjalne obszary ich wystąpienia/zastosowania, jak i przykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania.
Najistotniejszą zmianą jest dodanie w nowym wykazie trzech nowych kategorii operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny. Są to:
- przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu – chodzi m.in. o systemy rozpoznawania twarzy, weryfikację tożsamości w miejscu pracy w celu kontroli dostępu i systemy monitoringu wejść do określonych pomieszczeń,
- przetwarzanie danych genetycznych – przede wszystkim przez laboratoria oraz inne podmioty oferujące diagnostykę genetyczną, np. testy DNA,
- przetwarzanie danych lokalizacyjnych – m.in. przez urządzenia, aplikacje i platformy wykorzystujące Internet rzeczy; przetwarzanie danych w kontekście pracy w domu i pracy wykonywanej zdalnie oraz przetwarzanie danych lokalizacyjnych pracowników.
Należy podkreślić, że istnienie wykazu nie zwalnia administratora z obowiązku przeanalizowania wszelkich operacji przetwarzania danych osobowych w oparciu o pełną ocenę skutków dla ochrony danych (art. 35 ust. 1 RODO). Innymi słowy nie można przyjąć, że jeżeli przetwarzanie danych przez dany podmiot nie mieści się w kategoriach wskazanych w wykazie, to nie trzeba przygotowywać oceny skutków.
Niemniej jednak wykaz stanowi znaczące ułatwienie dla podmiotów przetwarzających dane osobowe przy podejmowaniu decyzji, czy powinny dokonać oceny skutków.
Katarzyna Szczudlik