Aktualny

Nowe technologie – kiedy przeprowadzić ocenę skutków dla ochrony danych (DPIA)

Michał Nosowski

Autor: Michał Nosowski

Dodano: 19 czerwca 2024
  • Drukuj
  • A-AA+
8f3e4ea3037d0776f4de77691d3cccbe8a3ca575-xlarge (12)

Założeniem oceny skutków przetwarzania dla ochrony danych (DPIA) jest wspomaganie zarządzania ryzykiem przez administratora w ramach operacji dokonywanych na danych osobowych i przystosowywanie go do przestrzegania przepisów RODO. Takie wnioski przedstawia w swoich wytycznych Europejska Rada Ochrony Danych. Wskazówki dotyczące przeprowadzenia oceny skutków zaprezentował także Prezes Urzędu Ochrony Danych Osobowych. Sprawdź, w jakich przypadkach administrator danych osobowych przeprowadzić DPIA w związku ze stosowaniem nowych technologii.

Ocena skutków dla ochrony danych (DPIA) wg RODO

Przypomnijmy, że ocenę skutków przetwarzania dla ochrony danych przeprowadza się, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. DPIA różni się od analizy ryzyka (ogólnej oceny ryzyka), która musi być systematycznie przeprowadzana przez każdego administratora. Porównanie analizy ryzyka i DPIA znajdziesz tutaj.

Kiedy należy przeprowadzić ocenę skutków dla ochrony danych - wskazówki EROD

W wytycznych 17/PL WP 248 Europejska Rada Ochrony Danych wskazała kryteria ustalenia zasadności przeprowadzenia DPIA. Otóż Gdy działalność administratora mierzy się co najmniej według dwóch z tych kryteriów, powinien on przygotować DPIA.  

Uwaga

Kryteria ustalenia zasadności przeprowadzenia oceny skutków przedstawiają się następująco.

  1. dokonywanie oceny lub punktacji, w tym profilowanie oraz prognozowanie na podstawie danych osobowych (np. przedsiębiorstwo badające lokalizacje użytkowników aplikacji mobilnej w celu poznania preferencji zakupowych danej osoby),
  2. automatyczne podejmowanie decyzji wywołujące względem osoby skutki prawne lub w inny sposób istotnie wpływające na osobę,
  3. systematyczne monitorowanie osób,
  4. zbieranie danych szczególnej kategorii,
  5. przetwarzanie danych na dużą skalę,
  6. dopasowywanie lub łączenie zbiorów danych w zakresie wykraczającym poza uzasadnione oczekiwania osób, których dane dotyczą,
  7. przetwarzanie danych osób wymagających szczególnej opieki,
  8. przetwarzanie danych przy użyciu nowoczesnych rozwiązań technologicznych lub organizacyjnych,
  9. przetwarzanie w sposób, który uniemożliwia osobom, których te dane dotyczą, realizowanie swoich praw albo np. korzystanie z usług.

Z uwagi na przedstawione wytyczne, przeprowadzenie DPIA w przypadku stosowania nowych technologii może być konieczne w następujących przypadkach.

Przykład

Szpital przetwarzający dane genetyczne i dane dotyczące zdrowia pacjenta w ramach swojego systemu informatycznego spełnia kryteria:

  • przetwarzania danych wrażliwych,
  • przetwarzania danych osób wymagających szczególnej opieki,
  • przetwarzania danych na dużą skalę.
Przykład

Stosowany jest system kamer monitorujących zachowanie kierowców na drogach, który ułatwia namierzanie pojazdów i automatycznie rozpoznaje numery tablic rejestracyjnych pojazdu. Spełnione zostaną tutaj kryteria:

  • systematycznego monitorowania,
  • innowacyjnego wykorzystania lub zastosowania rozwiązań technologicznych lub organizacyjnych.
Przykład

Magazyn internetowy korzysta z listy dystrybucyjnej, aby wysyłać krótkie i ogólne wiadomości do swych subskrybentów. W tym wypadku administrator spełnia jedynie kryterium przetwarzania danych na dużą skalę. Samo takie działanie nie powoduje konieczności przygotowania DPIA.

Wskazówki Prezesa Urzędu Ochrony Danych Osobowych

Warto sięgnąć także do komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 8 lipca 2019 r., który zawiera aktualny wykaz rodzajów operacji przetwarzania danych osobowych wymagających DPIA.

Uwaga

Prezes UODO wskazuje, że wykorzystanie nowych technologii wymaga przeprowadzenia DPIA w następujących przypadkach:

  • przetwarzanie danych biometrycznych w ramach systemu wejść do klubów fitness,
  • przetwarzanie danych genetycznych przez podmioty oferujące diagnostykę genetyczną,
  • systemy monitoringu osiągnięć sportowych w ramach tzw. aplikacji „lifelog”, które współpracują z opaskami typu fitness i w ramach tego wykorzystują chmurę obliczeniową,
  • przetwarzanie danych na dużą skalę przez różnego rodzaju serwisy społecznościowe.

Opracowanie: Michał Kowalski na podstawie artykułu autora Michała Nosowskiego

Podstawa prawna: 
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 35.
Michał Nosowski

Autor: Michał Nosowski

radca prawny, specjalizujący się w prawie nowych technologii i ochronie danych osobowych. www.michalnosowski.pl, www.wsroddanych.pl

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x