Spis sytuacji, w których RODO może się Wam najbardziej przydać

dodał 29 sierpnia 2018 o 17:50 w kategorii Prawo, Prywatność  z tagami:
Spis sytuacji, w których RODO może się Wam najbardziej przydać

Przepisy RODO zostały wdrożone już kilka miesięcy temu, ale nadal nie zawsze wiemy, których obszarów życia dotyczy i kiedy powinniśmy zwrócić większą uwagę na to, w jaki sposób są nasze dane przetwarzane. Katalog takich sytuacji opublikował właśnie UODO.

Nazwa opublikowanego dokumentu to komunikat w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, co wskazuje, że jest skierowany do administratorów danych. Jeśli jednak do niego zajrzycie, znajdziecie wiele praktycznych wskazówek dotyczących różnych obszarów życia, takich jak profilowanie w bankach i ubezpieczalniach, używanie opasek fitness, statystyki korzystania z e-booków, pomiar prędkości na drodze, monitorowanie poczty pracowników, rejestracja pracy policji czy systemy kontroli dostępu w hotelach. Warto przejrzeć opublikowaną tabelę, by zdać sobie sprawę z sytuacji, w których mogą być przetwarzane nasze dane wrażliwe.

Komunikat opublikowany w „Monitorze Polskim” jest szczególnie istotny dla administratorów danych osobowych, który chcą działać zgodnie z przepisami RODO (GDPR). Został on wydany na mocy art. 35 pkt. 4 Ogólnego Rozporządzenia o Ochronie Danych, który stanowi, że organ nadzorczy podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. 

Choć europejscy ustawodawcy nie zdefiniowali formalnie pojęcia „oceny skutków przetwarzania dla ich ochrony”, to jednak w art. 35 pkt. 7 unijnego rozporządzenia stwierdzono, że taka ocena powinna zawierać co najmniej: 

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1;

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Przepisy RODO mówią, że przeprowadzenie DPIA nie jest konieczne we wszystkich przypadkach operacji przetwarzania danych osobowych, a jedynie wtedy, gdy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.

Obowiązkiem administratora danych jest wówczas ocenić ryzyko oraz przygotować taki plan działania, który zminimalizuje lub całkowicie wyeliminuje wszelkie zagrożenia związane z wystąpieniem ryzyka.

Kiedy ocena skutków dla ochrony danych jest niezbędna według UODO?

W komunikacie prezesa UODO możemy znaleźć dziewięć rodzajów operacji, dla których obowiązkowe jest przeprowadzenie oceny skutków dla ochrony danych oraz przykłady czynności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania (w nawiasach):

  1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (np. profilowanie bezrobotnych przez Urzędy Pracy czy oferowanie zniżek przez firmy ubezpieczeniowe ze względu na prowadzony (zdrowy) tryb życia).

  2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki (monitorowanie preferencji zakupowych czy systemy monitoringu ruchu drogowego wykorzystywane do identyfikacji)

  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni. Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa (monitoring w komunikacji publicznej, monitoring czasu pracy pracownika lub wykorzystywanych przez niego narzędzi w pracy, tj. komputera, poczty elektronicznej).

  4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (m.in. rejestracja incydentów podczas interwencji policji, straży miejskiej, przetwarzanie danych biometrycznych klientów lub pracowników w celu wejścia do określonych pomieszczeń, portale rejestrujące bardzo osobiste dane osobowe, jak np. dzienniki czy aplikacje „fitness” zawierające bardzo często szczegółowe informacje o stanie zdrowia).

  5. Dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: liczby osób, których dane są przetwarzane, zakresu przetwarzania, okresu przechowywania danych oraz geograficznego zakresu przetwarzania (centralne zbiory danych wspomagające zarządzanie określoną grupą osób w celach związanych z realizacją zadań publicznych, np. centralny system informacji oświatowej lub informacji o szkolnictwie wyższym).

  6. Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł (łączenie danych z rejestrów państwowych/publicznych przez firmy marketingowe w celu przeprowadzenia akcji marketingowych; tworzenie profilu osoby na podstawie odwiedzanych stron internetowych, zakupów internetowych itp.)

  7. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami władczymi i/lub oceniającymi (serwisy internetowe, które np. oferują pracę i dopasowują ofertę do określonych preferencji pracodawców).

  8. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych (systemy zdalnego opomiarowania – tzw. inteligentne liczniki; analiza i przetwarzanie informacji zawartych np. w metadanych zdjęcia (inforamacje o lokalizacji) przez serwisy internetowe).

  9. Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy (uzależnienie udzielenia kredytu lub pożyczki od informacji zawartych w bazach dłużników lub innych bazach danych).

Trzeba przy tym podkreślić, że wykaz opublikowany w komunikacie prezesa UODO nie obejmuje czynności przetwarzania związanych z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich Unii Europejskiej. Brakująca część zostanie opublikowana w osobnym komunikacie, gdy Europejska Rada Ochrony Danych (EROD) wyda opinię w przedłożonej jej sprawie. Zgodnie z art. 35 pkt. 6 RODO przed przyjęciem takich wykazów właściwy organ nadzorczy zasięga opinii EROD, która co do zasady przyjmuje tę opinię w ciągu 8 tygodni. W wyjątkowo złożonych sprawach ten termin może być wydłużony o 6 kolejnych tygodni.

Ocena poziomu ryzyka dla przetwarzania danych w oświacie

Opublikowanie komunikatu w „Monitorze Polskim” zbiegło się również z zaprezentowaniem poradnika dotyczącego ochrony danych osobowych w szkołach i placówkach oświatowych. Publikacja powstała we współpracy Ministerstwa Edukacji Narodowej (MEN) i Urzędu Ochrony Danych Osobowych (UODO) i jest odpowiedzią na najczęściej pojawiające się wątpliwości związane z przetwarzaniem danych osobowych, które narosły od czasu obowiązywania RODO. 

Osobiście mam nadzieję, że wydane sporo po czasie opracowanie będzie w stanie uzmysłowić nauczycielom i pracownikom oświaty, czym jest, a czym nie jest ochrona danych osobowych i odpowiedzieć na najbardziej „palące pytania”, jak chociażby to, „czy można przenosić dziennik lekcyjny z jednego budynku szkoły do drugiego” – o czym można było już przeczytać nie tylko w internecie, ale nawet w drukowanych na kosztownym papierze gazetach.