grafika - ocena skutków
Piotr Słysz Brak komentarzy

Nowy wykaz czynności, dla których wymagana jest ocena skutków dla przetwarzania danych. Prezes Urzędu Ochrony Danych Osobowych rozszerzył go 3 o nowe pozycje: przetwarzanie danych biometrycznych, danych genetycznych i danych o lokalizacji.

Ocena skutków dla przetwarzania danych – komunikat PUODO

Znowelizowany wykaz czynności obligujących administratorów do przeprowadzenia oceny skutków dla przetwarzania danych znalazł się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony opublikowanym w Monitorze Polskim z dnia 8 lipca 2019 r. pod pozycją 666.

Garść wyjaśnień we wprowadzeniu

W odróżnieniu od pierwszej wersji tego dokumentu (z dnia 17 sierpnia 2018 r., MP z 24 sierpnia 2018 r., poz. 827) druga doczekała się wprowadzenia, w którym zaznaczono m.in. że co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. Nie wyklucza to jednak sytuacji, w których administrator danych może uznać, że przetwarzanie spełniające tylko jedno z kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Rzecz jasna, im więcej kryteriów dana czynność przetwarzania uwzględnia, tym bardziej konieczna jest ocena skutków takiego przetwarzania.

Urząd Ochrony Danych Osobowych zaznacza też, że podane w wykazie przykłady nie są katalogiem zamkniętym, a jedynie ilustrują potencjalne obszary zastosowania, w których może wystąpić wysokie ryzyko naruszenia wolności i praw osób, których dane dotyczą.

Nowe pozycje w wykazie

Jak podaje Urząd Ochrony Danych Osobowych na swojej stronie (https://uodo.gov.pl/pl/138/1094) aktualizacja uwzględnia opinię wydaną przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.

Natomiast trzy nowe pozycje to:

  • Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu;
  • Przetwarzanie danych genetycznych;
  • Przetwarzanie danych lokalizacyjnych.

Co to oznacza w praktyce?

Wpisane wprost przetwarzanie danych biometrycznych będzie oznaczać konieczność przeprowadzenia oceny we wszystkich instytucjach, które wejście do określonych obszarów zabezpieczają czytnikiem linii papilarnych lub tęczówki oka. Wśród przykładów takich miejsc komunikat wymieniona nawet kluby fitness czy hotele.

Także wszędzie tam, gdzie zlecenie transakcji w systemie teleinformatycznym, co obejmuje również podjęcie gotówki z bankomatu, będzie możliwe przy wykorzystaniu danych biometrycznych, warto przeprowadzić pogłębioną ocenę ryzyka naruszenia wolności i praw osób, których dane dotyczą.

Natomiast przetwarzanie danych genetycznych to obszar, który dotyczy przede wszystkim laboratoriów oraz szpitali, tak publicznych jak i niepublicznych, w których gromadzi się i analizuje dane na potrzeby diagnoz medycznych, testów DNA czy badań klinicznych.

Jeżeli zaś chodzi o dane lokalizacyjne, to podkreślono tutaj prawa pracowników wykonujących pracę zdalną, których ruch jest śledzony przez pracodawcę, poprzez identyfikowanie geograficznej pozycji terminali urządzeń użytkownika. W tym przypadku urządzeniem śledzącym może być, a właściwie jest, każdy telefon komórkowy.

 

Autor: Emilian Kujawski.