GIODO: W tych przypadkach trzeba przeprowadzić ocenę skutków dla ochrony danych
Generalny Inspektor Ochrony Danych Osobowych wskazał, w jakich sytuacjach administratorzy będą musieli przeprowadzić ocenę skutków przetwarzania dla ochrony danych osobowych.
Zgodnie z art. 35 ust. 4 ogólnego rozporządzenia o ochronie danych (RODO) administratorzy i podmioty przetwarzające będą musieli przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych. Wymóg ten dotyczy istniejących operacji przetwarzania, które ze względu na użycie nowych technologii, zakres i kategorie przetwarzania mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania.
RODO wskazuje też, że organ nadzorczy (w Polsce jeszcze Generalny Inspektor Ochrony Danych Osobowych – GIODO, a od 25 maja 2018 r. Prezes Urzędu Ochrony Danych Osobowych) może przygotować wykaz rodzajów przetwarzania, wobec których należy przeprowadzić ocenę skutków dla ochrony danych. Opracowując ten dokument, GIODO uwzględnił wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 (WP 248 rev.01) oraz swoje dotychczasowe doświadczenia. Jako przykłady operacji, które będą wymagały przeprowadzenia oceny skutków dla ochrony danych, GIODO wymienia:
- profilowanie użytkowników portali społecznościowych,
- ocena zdolności kredytowej,
- system monitoringu wykorzystywany do zarządzania ruchem lub przeciwdziałania zagrożeniom,
- systemy monitorowania czasu pracy oraz przepływu informacji w narzędziach wykorzystywanych przez pracowników,
- przetwarzanie szczególnych kategorii danych, np. danych biometrycznych,
- przetwarzanie dokumentacji medycznej,
- przetwarzanie danych pracownika niewskazanych w Kodeksie pracy na podstawie jego zgody.
GIODO zachęca do zgłaszania swoich opinii i uwag do wykazu przez ekspertów z różnych sektorów i środowisk: prawników, informatyków, ekspertów do spraw bezpieczeństwa, socjologów, etyków itd. Należy je przesłać najpóźniej do 30 kwietnia 2018 r. na adres: [email protected].
GIODO rozważa również przygotowanie wykazu rodzajów operacji przetwarzania, które nie podlegają wymogowi oceny skutków dla ochrony danych. Zaproponowanie listy takich operacji planowane jest nie później niż 25 maja 2018 r.
Poniżej znajdziesz wykaz operacji, wobec których trzeba przeprowadzić ocenę skutków dla ochrony danych, przygotowany przez GIODO.
- System zabezpieczeń przed smishingiem już działa
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Zgoda na przetwarzanie danych osobowych o zdrowiu musi być udokumentowana
- Księga główna przychodni zawiera dane osobowe o zdrowiu pacjentów
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
