# Publikacja wykazu i jego znaczenie
Dnia 8 lipca 2019 r. został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Dzień później pojawiła się informacja na stronie Internetowej UODO. O co chodzi?
Zgodnie z art. 35 ust. 4 RODO Organ Nadzorczy (w Polsce: PUODO) ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje.
Co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Wykaz może dotyczyć działalności każdego przedsiębiorcy, chociaż pojawiają się w nim przykłady właściwe dla konkretnych branży.
Upraszczając: jeżeli firma przetwarza dane osobowe w sposób i przy wykorzystaniu metod wskazanych w wykazie – należy sporządzić – a przynajmniej rozważyć konieczność sporządzenia – specjalnej wewnętrznej procedury zakończonej analizą skutków przetwarzania dla ochrony danych osobowych.
# Jakie przykłady ryzykownego przetwarzania danych osobowych znajdziemy w wykazie
- Firma przetwarzająca dane lokalizacyjne pracownika – zarówno co do jego stanowiska pracy, miejsca pracy, samochodu, miejsca pobytu;
- Firma monitorująca czas pracy pracowników z wykorzystaniem analizy np. poczty elektronicznej;
- Firma stosująca system rozpoznawania twarzy albo głosu/odcisków palców celem weryfikacji dostępu / tożsamości (np. zakład pracy, hotel, biuro);
- Firma stosująca system do zgłaszania nieprawidłowości typu whistleblowing;
- Firma stosująca system RFID (np. wjazd na teren firmy z karty) w przypadku, gdy znaczniki/etykiety są lub mogą być przypisane osobom fizycznym;
- Klub fitness zbierający dane dot. zdrowia klientów;
- Zakład medyczny/laboratorium oferujący diagnostykę genetyczną;
- Firma marketingowa tworząca profile osób w oparciu o dane osobowe z różnych źródeł;
- Firma pożyczkowa oceniająca klienta z wykorzystaniem algorytmów sztucznej inteligencji / tzw. automatów scoringowych;
- Firma pożyczkowa podejmująca decyzje kredytowe w oparciu o informacje z baz danych o dłużnikach, albo analizę budżetu domowego;
- Firma headhunterska profilująca potencjalnych łowionych pracowników na FB;
- Firma ubezpieczeniowa która chce różnicować wysokość składki w oparciu o styl życia albo jazdy klienta;
- Firma oferująca programy lojalnościowe profilująca klientów;
- Firma monitorująca preferencje zakupowe użytkowników np. w zakresie słodyczy;
- Firma wypożyczająca pojazdy i monitorująca nie tylko lokalizację ale i styl jazdy;
# Twoja firma przetwarza dane w sposób wskazany w wykazie, do dalej?
Konieczna jest analiza obowiązku sporządzenia tzw. oceny skutków dla ochrony danych (DPiA). Firma de facto przed rozpoczęciem przetwarzania danych (np. wprowadzenia monitoringu samochodów) dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Taka ocena to wewnętrzna analiza zawierająca m.in. systematyczny opis planowanych operacji i celów przetwarzania, ocenę czy operacje te są niezbędne do osiągnięcia celów, cenę ryzyka naruszenia praw lub wolności oraz środków planowanych w celu zarządzania ryzykiem, w tym zabezpieczenia mające zapewnić ochronę danych osobowych z uwzględnieniem uzasadnionych interesów osób których dane będą przetwarzane.
Co istotne: firma (administrator) powinna sporządzić ocenę z Inspektorem, w niektórych przypadkach ma obowiązek zasięgnięcia opinii osób których dane będą przetwarzane. Firma ma też obowiązek uwzględnić kodeksy branżowe. Dodatkowo w przypadku wysokiego ryzyka gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym – Prezesem Urzędu Ochrony Danych osobowych, który w terminie 8 tygodni od wpłynięcia wniosku udziela administratorowi pisemne zalecenia.
DPiA może przygotować profesjonalny inspektor ochrony danych, a także prawnicy specjalizujący się w ochronie danych osobowych. W razie chęci uzyskania wyceny takiej usługi zachęcamy do kontaktu.
