Wytyczne w sprawie oceny skutków przetwarzania danych

Autor: Wioleta Szczygielska
Grupa Robocza Art. 29 wydała wytyczne w sprawie oceny skutków przetwarzania dla ochrony danych. Tłumaczy w nich, w jakich sytuacjach trzeba będzie ją przeprowadzać i od kiedy należy zacząć realizować ten obowiązek.
Ocenę skutków dla ochrony danych przeprowadza się, jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 rodo). Grupa Robocza Art. 29 podaje przykłady sytuacji, które powodują wysokie ryzyko naruszenia tych praw:
  • systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa,
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.
 
Wskazuje także 10 kryteriów, które trzeba wziąć pod uwagę, oceniając, czy przetwarzanie wiąże się z dużym ryzykiem. Należą do nich m.in. automatyczne podejmowanie decyzji wywołujących skutki prawne czy systematyczne monitorowanie. Jeśli przetwarzanie spełnia mniej niż dwa kryteria, nie będzie wymagana ocena skutków. Natomiast jeżeli planowana operacja przetwarzania spełnia co najmniej dwa kryteria, konieczne będzie przeprowadzenie oceny skutków przetwarzania.
Jakie podmioty będą musiały przeprowadzić ocenę skutków przetwarzania:
  • szpital, który przetwarza dane genetyczne i dane o stanie zdrowia pacjentów,
  • administrator, który wykorzystuje system kamer do monitorowania zachowania kierowców na drogach, wraz z automatycznych rozpoznawaniem tablic rejestracyjnych,
  • firma monitorująca zachowania pracowników, w tym aktywność w internecie,
  • zbieranie publicznych profili w mediach społecznościowych do tworzenia profili w celu skontaktowania się.
Nie trzeba przeprowadzać oceny skutków przetwarzania np. wtedy, gdy:
  • magazyn dostępny online wysyła do subskrybentów ogólny skrót wiadomości,
  • sklep internetowy wyświetla reklamy części samochodowych do starych samochodów przy użyciu ograniczonego profilowania w oparciu o poprzednie zakupy użytkownika.
 
Ocenę skutków przetwarzania trzeba będzie prowadzić dla operacji, które zaczną się po rozpoczęciu stosowania ogólnego rozporządzenia, czyli od 25 maja 2018 r. Jeżeli jednak do operacji przetwarzania wprowadzono istotną zmianę, np. zaczęto stosować nową technologię lub zmienił się cel przetwarzania, obowiązek przeprowadzenia oceny skutków może dotyczyć operacji toczących się przed rozpoczęciem stosowania rodo.
Ocena skutków przetwarzania powinna zawierać:
  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie rodo.
Ocenę przeprowadza administrator. Może się przy tym konsultować z inspektorem ochrony danych lub podmiotem przetwarzającym (jeśli będzie brał on udział w przetwarzaniu). Może też skonsultować się z podmiotami danych lub ich przedstawicielami, Grupa Robocza zaleca, aby zrobić to np. poprzez przeprowadzenie badania, przedstawienie pytań przedstawicielom pracowników lub związkom zawodowym, wysłanie kwestionariusza do potencjalnych klientów.
Jeżeli ocena skutków wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego zminimalizowania, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Grupa Robocza Art. 29 wyjaśnia, że chodzi tu o sytuacje, kiedy administrator określił ryzyka w ocenie skutków, ale nie znalazł środków, poprzez które mógłby im zaradzić.


Wioleta Szczygielska


Tagi: ochrona danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49921 )

Array ( [docId] => 49921 )
Array ( [docId] => 49921 )