Jesteś już użytkownikiem programów LEX?

Nowy wykaz operacji wymagających oceny skutków – co się zmieniło?

29 lipca 2019

8 lipca 2019 r. został ogłoszony komunikat Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Zawiera on te operacje, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych i z którymi wiąże się nałożony na administratora danych obowiązek przeprowadzenia oceny skutków przetwarzania. Jakie operacje znalazły się w wykazie i jak należy je identyfikować? Tego dowiesz się z najnowszego komentarza w LEX Ochrona Danych Osobowych.

Dlaczego powstał wykaz tych operacji?

Wykaz operacji jest realizacją zapisów art. 35 ust. 4 RODO, zgodnie z którym organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Chodzi tu o operacje, które ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Warto przypomnieć, że to już drugi wykaz wydany na podstawie art. 35 RODO (pierwszy pojawił się w sierpniu 2018 r.).

Co zawiera wykaz?

Wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony zawiera katalog takich czynności, jakie może podejmować w swojej działalności administrator danych, które potencjalnie mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W wykazie znalazły się m.in. takie operacje:

  1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych.
  2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki.
  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni. Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa.
  4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29).

Fragment wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony obowiązującego od 8 lipca 2019 r.

Dlaczego ten wykaz jest tak ważny?

Wykaz stanowi podpowiedź dla administratora, jakie operacje przetwarzania danych są na tyle ważne i niosące wysokie ryzyko naruszeń, że organ nadzorczy zdecydował się na ich wyszczególnienie. Wskazane w wykazie operacji przykłady operacji / zakresu danych / okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania nie mają charakteru wyczerpującego. Mają one jedynie na celu pomoc w lepszym zrozumieniu kryteriów / rodzajów operacji mogących skutkować koniecznością przeprowadzenia oceny skutków dla ochrony danych.

Katalog operacji objęty wykazem będzie ulegał zmianom. Już porównanie z zeszłorocznym wykazem pokazuje, że uległ on poszerzeniu o nowe operacje, n.in. w zakresie przetwarzania danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu czy przetwarzania danych genetycznych. Ponadto, poprzedni wykaz operacji wymagających oceny skutków (z 2018 r.) nie zawierał wskazania, że w typowych sytuacjach ocena skutków wymagana jest, gdy spełnione są co najmniej dwa kryteria.

W najnowszym komentarzu praktycznym w LEX Ochrona Danych Osobowych pt. Nowy wykaz operacji wymagających oceny skutków – co się zmieniło? znajdziesz więcej informacji o opublikowanym wykazie.

Dowiesz się:

  • kiedy istnieje konieczność przeprowadzenia uprzednich konsultacji z organem nadzorczym;
  • jakie są elementy oceny skutków;
  • jakie należy przyjąć kryteria przeprowadzenia oceny skutków;
  • jaka jest relacja między oceną skutków a ogólną analizą ryzyka naruszenia praw lub wolności;
  • jakie wątpliwości mają eksperci w zakresie opublikowanego nowego wykazu?

Autorem tekstu jest Mirosław Gumularz - radca prawny, doktor nauk prawnych (UJ). Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg normy ISO 27001:2013. Jako doradca społeczny ds. ochrony danych osobowych w Ministerstwie Cyfryzacji brał udział w pracach nad wdrożeniem RODO/GDPR do polskiego porządku prawnego. W zakresie swojej praktyki zawodowej oraz naukowej specjalizuje się w szeroko pojętym prawie nowych technologii (m.in. ochrona danych osobowych oraz e-commerce).

 

Zainteresował Cię ten tekst, a nie masz dostępu do LEX Ochrona Danych Osobowych? Sprawdź naszą ofertę. 

Polecam,

Alicja Plichta

redaktor naczelna działu Biznes

product manager Ochrona Danych Osobowych

Nie korzystasz jeszcze z programów LEX?
Znajdź rozwiązanie dla siebie.

Zamów prezentacje produktów LEX, dzięki której poznasz pełne możliwości serwisu oraz uzyskasz informacje o pakietach spełniających Twoje potrzeby.