Dane Osobowe
Bartłomiej Serafinowicz
Bartłomiej Serafinowicz
29 lipca 2019

Kiedy konieczne jest przeprowadzenie DPIA

W Monitorze Polskim 8 lipca br. opublikowano nowy komunikat Prezesa Urzędu Ochrony Danych Osobowych. Jest on dla istotny, ponieważ ustanawia nowy wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków dla ochrony danych, czyli DPIA.

Przedmiotowa ocena skutków, nazywana powszechnie DPIA (od angielskiego sformułowania „Data Protection Impact Assessment), to procedura, która musi zostać dokona a w przypadku, gdy dany rodzaj przetwarzania danych, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

 

Nowe kryteria DPIA

PUODO wskazał na szereg kryteriów, jak również podał przykłady branż oraz operacji przetwarzania, które co do zasady są związane z przedmiotowym kryterium. Stanowi to z pewnością pomoc dla administratorów danych, którym łatwiej będzie ocenić, czy znajdują się w sytuacji, w której koniecznym jest dokonanie analizy czy DPIA jest konieczne do przeprowadzenia.

Przedmiotowe kryteria to:

  • dokonywanie ewaluacji lub oceny w tym profilowanie i przewidywanie w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych. Za przykład takich działań można uznać profilowanie na portalach społecznościowych w celu wysyłania informacji handlowej, czy też ocena zdolności kredytowej za pomocą algorytmów;
  • zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki – tutaj za przykład wskazać trzeba monitorowanie zakupów i preferencji zakupowych, czy też systemy automatycznie identyfikujące pojazdy;
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni (z wyłączeniem monitoringu analizowanego tylko w przypadku podejrzenia naruszenia prawa). W tym wypadku przykładowo chodzi tutaj o monitoring w szpitalach, klubach fitness, a nawet zakłady pracy w zakresie w jakim monitorują m. in. pocztę elektroniczną, jeśli jest to monitorowanie systematyczne;
  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych. Tutaj wskazać można na przykład dostawców usług przetwarzania danych w chmurze, czy też usług poczty elektronicznej, w przypadku, gdy wykorzystanie przetwarzanych danych osobowych w innym celu stanowiłoby dużą ingerencję w prywatność;
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu – co za tym idzie kategorii tej podlega sytuacja, w której wejścia do pomieszczeń lub budynków zabezpieczone są różnego rodzaju czytnikami danych biometrycznych;
  • przetwarzanie danych genetycznych – w takich celach jak m. in. diagnoza medyczna, czy testy DNA;
  • dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: i) liczby osób, których dane są przetwarzane, ii) zakresu przetwarzania, iii) okresu przechowywania danych oraz iv) geograficznego zakresu przetwarzania – tutaj za przykład organ wskazał centralne zbiory danych prowadzone w celu realizacji zadań publicznych;
  • przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł, przykładowo poprzez łączenie danych uzyskiwanych z różnych publicznie dostępnych rejestrów;
  • przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi lub ocennymi. Za przykład w tym wypadku wskazać można systemy służące do zgłaszania nieprawidłowości takich jak mobbing;
  • innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych. Jako przykłady PUODO wskazuje przykładowo systemy analizy i przekazywania danych dostawcom usług przy użyciu aplikacji mobilnych z urządzeń przenośnych takich jak inteligentne opaski czy smartwatche;
  • przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy, na przykład, gdy decyzja kredytowa jest podejmowana na podstawie informacji zbieranych w bazach danych dotyczących dłużników;
  • przetwarzanie danych lokalizacyjnych – w tym przypadku chodzi o przetwarzanie, które wykorzystuje śledzenie lokalizacji osoby fizycznej.

 

DPIA – kiedy w praktyce?

Podkreślić trzeba, że PUODO wskazał, że co do zasady, gdy dana operacja przetwarzania spełnia co najmniej dwa wyżej wskazane kryteria koniecznym jest dokonanie DPIA, jednakże może się to okazać konieczne również gdy spełnione jest tylko jedno. Ponadto sam organ wskazuje, że opisany wyżej katalog ma charakter jedynie przykładowy, zaś to na administratorze danych ciąży obowiązek oceny czy przeprowadzenie DPIA jest konieczne.

Co za tym idzie koniecznym jest zweryfikowanie przez podmioty stosujące przy przetwarzaniu danych osobowych najnowsze technologie, czy nie zachodzi konieczność przeprowadzenia oceny skutków dla ochrony danych. Jeśli pojawi się taka konieczność – należy podjąć odpowiednie działania. W innym przypadku, w przypadku kontroli, organ nadzoru z pewnością nie będzie wyrozumiały.

Samo DPIA nie jest procedurą łatwą – musi zawierać opis planowanych operacji oraz celów przetwarzania, ocenę czy działania te są niezbędne oraz proporcjonalne, jak również jakie jest ryzyko związane ze stosowanym rozwiązaniem, jak również wskazanie środków, które będą zastosowane w celu ochrony danych osobowych oraz praw osób, których dane dotyczą.

Co ważne DPIA należy przeprowadzić przed rozpoczęciem przetwarzania danych osobowych. Co za tym idzie najpierw koniecznym jest przeprowadzenie oceny skutków, zaś dopiero potem można wdrażać nowe rozwiązania związane z przetwarzaniem danych osobowych.

 

Photo by Vitaly Sacred on Unsplash

Udostępnij ten artykuł

Artykuły

facebooktwitterlinkedin