Wykaz rodzajów operacji wymagających oceny skutków

Zgodnie z motywem 89 preambuły do RODO zadecydowano o likwidacji dotychczasowego obowiązku rejestracji zbiorów danych osobowych. Wskazano mianowicie, iż: „dyrektywa 95/46/WE przewidywała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych.

Obowiązek ten, powodując jednak obciążenia administracyjne i finansowe, nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego należy znieść te powszechne, ogólne obowiązki zawiadamiania i zastąpić je skutecznymi procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takie rodzaje operacji przetwarzania obejmują w szczególności operacje, które wiążą się z użyciem nowych technologii lub które są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych lub stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania”.

W związku z powyższym uznano, iż jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania jest obowiązany dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Ocenę skutków dla ochrony danych obowiązkowo przeprowadza się – zgodnie z RODO – zwłaszcza w następujących sytuacjach:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (czyli następujących danych: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania reli­gijne lub światopoglądowe, przynależność do związków zawodowych oraz danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksual­ności lub orientacji seksualnej tej osoby), lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10, lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ułatwieniem dla administratorów danych mają być podawane przez organy nadzorcze wykazy rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny.

Organ nadzorczy jest bowiem obowiązany do ustanowienia i podania do publicznej wiadomości wykazów rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Powyższe wykazy są następnie przekazywane Europejskiej Radzie Ochrony Danych.

 Należy jednak podkreślić, że nawet opublikowany przez organ nadzorczy wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych nie będzie wykazem wyczerpującym. Administrator musi więc tak czy inaczej ocenić, czy w kontekście przetwarzanych przez niego danych konieczne będzie sporządzenie oceny skutków.

Na ten moment 24 sierpnia 2018 r. w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten nie obejmuje czynności przetwarzania związanych z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich, lub mogących znacznie wpłynąć na swobodny przepływ danych osobowych w Unii.

Wykaz dostępny jest pod adresem: //monitorpolski.gov.pl/MP/2018/827/.

W przedmiotowym wykazie wskazano, iż przeprowadzenie oceny jest wymagane dla następujących rodzajów/kryteriów operacji przetwarzania danych osobowych:

  1. ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych;
  2. zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki;
  3. systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie, wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni; do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa;
  4. przetwarzanie szczególnych kategorii danych oso­bowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29);
  5. dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy:
    • liczby osób, których dane są przetwarzane,
    • zakresu przetwarzania,
    • okresu przechowywania danych,
    • geograficznego zakresu przetwarzania;
  6. przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł;
  7. przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami władczymi i/lub oceniającymi;
  8. innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych;
  9. gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy.

Wykaz został przekazany Europejskiej Radzie Ochrony Danych, która wydała opinię, iż wymaga on poprawienia.

Wskazano m.in., iż wykaz nie może zawierać wyczerpującego katalogu czynności przetwarzania, a ma stanowić jedynie wykaz przykładowych czynności wymagających przeprowadzenia oceny skutków dla ochrony danych, a także iż powinien w większym zakresie uwzględniać wytyczne z opinii Grupy Roboczej 29. Przykładowo wskazano, że operacje przetwarzania danych biometrycznych, genetycznych i lokalizacyjnych powinny podlegać ocenie skutków wówczas, gdy prowadzone są łącznie z innym kryterium wskazanym przez Grupę Roboczą. Im więcej bowiem kryteriów spełnia dana operacja przetwarzania, tym bardziej jest prawdopodobne, iż dochodzi do wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Aktualnie oczekujemy więc na poprawienie wykazu przez Prezesa Urzędu Ochrony Danych Osobowych.