RODO

11.07.2019

RODO – kiedy faktor musi wykonać tzw. analizę DPiA

# Publikacja wykazu

Dnia 8 lipca 2019 r. został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Dzień później pojawiła się informacja na stronie Internetowej UODO. O co chodzi?

Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje. Co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych.

Upraszczając: jeżeli firma faktoringowa przetwarza dane osobowe w sposób i przy wykorzystaniu metod wskazanych w wykazie – należy sporządzić – a przynajmniej rozważyć konieczność sporządzenia –  specjalnej wewnętrznej procedury zakończonej analizą skutków przetwarzania dla ochrony danych osobowych (DPIA).

# Jakie przykłady znajdziemy w wykazie – w których firma ma obowiązek albo powinna rozważyć DPIA?

Pozwoliłem sobie wskazać przykłady które mogą dotyczyć firmy faktoringowej:

  • ocena zdolności finansowej klienta (jednoosobowego przedsiębiorcy) z wykorzystaniem sztucznej inteligencji i tzw. automatów scoringowych;
  • podejmowanie decyzji o finansowaniu / przyznaniu limitu faktoringowego w oparciu o informacje z baz danych o dłużnikach, albo analizę budżetu domowego;
  • przetwarzanie danych lokalizacyjnych przedstawiciela handlowego – samochodu / miejsca pobytu / telefonu;
  • monitorowanie czasu pracy pracowników z wykorzystaniem analizy np. poczty elektronicznej;
  • stosowanie systemu rozpoznawania twarzy albo głosu/odcisków palców celem weryfikacji dostępu / tożsamości do biura;
  • stosowanie systemu zgłaszania nieprawidłowości typu whistleblowing;
  • stosowanie systemu RFID w przypadku, gdy znaczniki/etykiety są lub mogą być przypisane osobom fizycznym;
  • profilowanie klientów w oparciu o dane osobowe z różnych źródeł;

# Faktor przetwarza dane w sposób wskazany powyżej, do dalej?

Konieczne może być przeprowadzenie tzw. oceny skutków dla ochrony danych (DPIA). Firma de facto przed rozpoczęciem przetwarzania danych (np. uruchomienia automatu scoringowego) dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Taka ocena to wewnętrzna analiza zawierająca m.in. systematyczny opis planowanych operacji i celów przetwarzania, ocenę czy operacje te są niezbędne do osiągnięcia celów, cenę ryzyka naruszenia praw lub wolności oraz środków planowanych w celu zarządzania ryzkiem, w tym zabezpieczenia mające zapewnić ochronę danych osobowych z uwzględnieniem uzasadnionych interesów osób których dane będą przetwarzane.

Co istotne: administrator powinien sporządzić ocenę z Inspektorem (jeśli został powołany), w niektórych przypadkach ma obowiązek zasięgnięcia opinii osób których dane będą przetwarzane. Administrator ma też obowiązek uwzględnić kodeksy branżowe. Dodatkowo w przypadku wysokiego ryzyka gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych, który w terminie 8 tygodni od wpłynięcia wniosku udziela administratorowi pisemne zalecenia.

DPIA może przygotować profesjonalny inspektor ochrony danych, a także prawnicy specjalizujący się w ochronie danych osobowych. W razie chęci uzyskania wyceny takiej usługi zachęcamy do kontaktu.