Szwedzki organ nadzorczy odpowiedzialny za przestrzeganie RODO nałożył ostatnio karę w wysokości ok. 20 000 euro za stosowanie technologii pozwalającej na monitorowanie obecności uczniów w szkole.

Co istotne, przetwarzanie danych osobowych w postaci wizerunku uczniów nie odbywało się stale, tylko było krótkotrwałym testem, który miał ocenić przydatność takiego rozwiązania w działalności szkół. Jednak w ocenie szwedzkiego organu takie działanie było sprzeczne z RODO. Należy podkreślić, że stosowane systemy przetwarzały wizerunek w taki sposób, że dochodziło do przetwarzania danych biometrycznych, a więc danych szczególnie chronionych na gruncie RODO. Właśnie z uwagi na szczególny charakter przetwarzanych danych oraz sposób ich przetwarzania przed rozpoczęciem przetwarzania administrator danych powinien był przeprowadzić ocenę skutków przetwarzania dla ochrony danych. Nieprzeprowadzenie tej oceny stanowiło z kolei naruszenie RODO tego rodzaju, że zasadne było nałożenie na administratora danych kary pieniężnej.

Zgodnie z RODO ocenę skutków dla ochrony danych należy przeprowadzić wtedy, gdy dany rodzaj przetwarzania, w szczególności z użyciem nowych technologii, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. RODO nie zawiera przy tym konkretnego katalogu sytuacji, w których ocena ryzyka jest obowiązkowa, tylko ogranicza się do wskazania kategorii przypadków, kiedy jest ona wymagana. Lista ta obejmuje sytuacje, w których:

• dochodzi do systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych,
• ma miejsce zautomatyzowane przetwarzanie, w tym profilowanie i jest to podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
• mamy do czynienia z przetwarzaniem na dużą skalę szczególnych kategorii danych osobowych, tj. np. danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia,
• dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Organy nadzorcze poszczególnych państw przygotowują listy uszczegółowiające sytuacje, w których wymagane jest przeprowadzenie oceny skutków przetwarzania. O liście, którą przygotował polski organ, pisaliśmy już tutaj.

Powyższa lista zawarta w RODO jasno sugeruje, że wszelkie podmioty, które zajmują się przetwarzaniem np. danych dotyczących zdrowia za pomocą algorytmów, powinny przed podjęciem działalności przeprowadzić wstępną analizę co do konieczności przeprowadzenia oceny ryzyka.

Co więcej, jeżeli przeprowadzona ocena wykaże, że przetwarzanie powodowałoby wysokie ryzyko dla ochrony danych, gdyby administrator nie zastosował środków w celu zminimalizowania ryzyka, to przed rozpoczęciem przetwarzania administrator danych osobowych ma obowiązek skonsultować się z organem nadzorczym, który udziela administratorowi zaleceń.

Z powyższego wynika, że przy pewnych modelach działalności, które zakładają przetwarzanie danych osobowych w taki sposób, w takiej ilości lub takiego rodzaju, że konieczne jest dokonanie oceny skutków przetwarzania dla ochrony danych, administrator takich danych musi wywiązać się z pewnych obowiązków wynikających z RODO jeszcze przed rozpoczęciem swojej działalności. W przeciwnym razie może narażać się na kontrolę organu nadzorczego, która może skutkować wydaniem decyzji administracyjnej, także nakładającej kary pieniężne za nieprzestrzeganie RODO.

Katarzyna Szczudlik