Nowe technologie – kiedy przeprowadzić ocenę skutków dla ochrony danych (DPIA)
Założeniem oceny skutków przetwarzania dla ochrony danych (DPIA) jest wspomaganie zarządzania ryzykiem przez administratora w ramach operacji dokonywanych na danych osobowych i przystosowywanie go do przestrzegania przepisów RODO. Takie wnioski przedstawia w swoich wytycznych Europejska Rada Ochrony Danych. Wskazówki dotyczące przeprowadzenia oceny skutków zaprezentował także Prezes Urzędu Ochrony Danych Osobowych. Sprawdź, w jakich przypadkach administrator danych osobowych przeprowadzić DPIA w związku ze stosowaniem nowych technologii.
Ocena skutków dla ochrony danych (DPIA) wg RODO
Przypomnijmy, że ocenę skutków przetwarzania dla ochrony danych przeprowadza się, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. DPIA różni się od analizy ryzyka (ogólnej oceny ryzyka), która musi być systematycznie przeprowadzana przez każdego administratora. Porównanie analizy ryzyka i DPIA znajdziesz tutaj.
Kiedy należy przeprowadzić ocenę skutków dla ochrony danych - wskazówki EROD
W wytycznych 17/PL WP 248 Europejska Rada Ochrony Danych wskazała kryteria ustalenia zasadności przeprowadzenia DPIA. Otóż Gdy działalność administratora mierzy się co najmniej według dwóch z tych kryteriów, powinien on przygotować DPIA.
Kryteria ustalenia zasadności przeprowadzenia oceny skutków przedstawiają się następująco.
- dokonywanie oceny lub punktacji, w tym profilowanie oraz prognozowanie na podstawie danych osobowych (np. przedsiębiorstwo badające lokalizacje użytkowników aplikacji mobilnej w celu poznania preferencji zakupowych danej osoby),
- automatyczne podejmowanie decyzji wywołujące względem osoby skutki prawne lub w inny sposób istotnie wpływające na osobę,
- systematyczne monitorowanie osób,
- zbieranie danych szczególnej kategorii,
- przetwarzanie danych na dużą skalę,
- dopasowywanie lub łączenie zbiorów danych w zakresie wykraczającym poza uzasadnione oczekiwania osób, których dane dotyczą,
- przetwarzanie danych osób wymagających szczególnej opieki,
- przetwarzanie danych przy użyciu nowoczesnych rozwiązań technologicznych lub organizacyjnych,
- przetwarzanie w sposób, który uniemożliwia osobom, których te dane dotyczą, realizowanie swoich praw albo np. korzystanie z usług.
Z uwagi na przedstawione wytyczne, przeprowadzenie DPIA w przypadku stosowania nowych technologii może być konieczne w następujących przypadkach.
Szpital przetwarzający dane genetyczne i dane dotyczące zdrowia pacjenta w ramach swojego systemu informatycznego spełnia kryteria:
- przetwarzania danych wrażliwych,
- przetwarzania danych osób wymagających szczególnej opieki,
- przetwarzania danych na dużą skalę.
Stosowany jest system kamer monitorujących zachowanie kierowców na drogach, który ułatwia namierzanie pojazdów i automatycznie rozpoznaje numery tablic rejestracyjnych pojazdu. Spełnione zostaną tutaj kryteria:
- systematycznego monitorowania,
- innowacyjnego wykorzystania lub zastosowania rozwiązań technologicznych lub organizacyjnych.
Magazyn internetowy korzysta z listy dystrybucyjnej, aby wysyłać krótkie i ogólne wiadomości do swych subskrybentów. W tym wypadku administrator spełnia jedynie kryterium przetwarzania danych na dużą skalę. Samo takie działanie nie powoduje konieczności przygotowania DPIA.
Wskazówki Prezesa Urzędu Ochrony Danych Osobowych
Warto sięgnąć także do komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 8 lipca 2019 r., który zawiera aktualny wykaz rodzajów operacji przetwarzania danych osobowych wymagających DPIA.
Prezes UODO wskazuje, że wykorzystanie nowych technologii wymaga przeprowadzenia DPIA w następujących przypadkach:
- przetwarzanie danych biometrycznych w ramach systemu wejść do klubów fitness,
- przetwarzanie danych genetycznych przez podmioty oferujące diagnostykę genetyczną,
- systemy monitoringu osiągnięć sportowych w ramach tzw. aplikacji „lifelog”, które współpracują z opaskami typu fitness i w ramach tego wykorzystują chmurę obliczeniową,
- przetwarzanie danych na dużą skalę przez różnego rodzaju serwisy społecznościowe.
Opracowanie: Michał Kowalski na podstawie artykułu autora Michała Nosowskiego
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 35.
- Przetwarzanie danych osobowych w grupie przedsiębiorstw według RODO
- Jak zabezpieczyć infrastrukturę informatyczną w związku z powodzią – rekomendacje Pełnomocnika Rządu ds. Cyberbezpieczeństwa
- Referencje w procesie zamówień publicznych - jaka jest podstawa przetwarzania danych osobowych wg RODO
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
