Wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

KOMUNIKAT
PREZESA URZĘDU OCHRONY DANYCH OSOBOWYCH
z dnia 17 sierpnia 2018 r.
w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony

Na podstawie art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000) ogłasza się, co następuje:
1)
ogłasza się wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, o którym mowa w art. 35 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1), zwanego dalej "rozporządzeniem", nieobejmujący czynności przetwarzania związanych z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich Unii Europejskiej - wykaz określa załącznik do komunikatu;
2)
wykaz, o którym mowa w art. 35 ust. 6 rozporządzenia, zgodnie z mechanizmem spójności, o którym mowa w art. 63 rozporządzenia, został przekazany, zgodnie z art. 64 ust. 1 lit. a rozporządzenia, Europejskiej Radzie Ochrony Danych i zostanie ogłoszony po wydaniu opinii przez Europejską Radę Ochrony Danych.

ZAŁĄCZNIK

WYKAZ RODZAJÓW OPERACJI PRZETWARZANIA DANYCH OSOBOWYCH WYMAGAJĄCYCH OCENY SKUTKÓW PRZETWARZANIA DLA ICH OCHRONY, NIEOBEJMUJĄCY CZYNNOŚCI PRZETWARZANIA ZWIĄZANYCH Z OFEROWANIEM TOWARÓW LUB USŁUG OSOBOM, KTÓRYCH DANE DOTYCZĄ, LUB Z MONITOROWANIEM ICH ZACHOWANIA W KILKU PAŃSTWACH CZŁONKOWSKICH UNII EUROPEJSKIEJ

Rodzaje/kryteria dla operacji przetwarzania, dla których wymagane jest przeprowadzenie oceny Przykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania Potencjalne obszary wystąpienia/ istniejące obszary zastosowań
1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych Profilowanie użytkowników portali społecznościowych i innych aplikacji w celach wysyłania niezamówionej informacji handlowej (spamu) Media społecznościowe, firmy marketingowe, firmy headhunterskie
Profilowanie osób bezrobotnych pod kątem dostępu do różnych form pomocy bez ich zgody Urzędy pracy w zakresie profilowania osób bezrobotnych
Ocena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji i żądania ujawnienia danych niemających bezpośredniego związku z oceną zdolności kredytowej Banki, inne instytucje finansowe upoważnione do udzielania kredytów, instytucje pożyczkowe w procesie oceny zdolności kredytowej
Ocena stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych w celu np. podwyższenia im ceny składki ubezpieczeniowej, na podstawie tej oceny, nazywana ogólnie optymalizacją składki ubezpieczeniowej Firmy ubezpieczeniowe - oferowanie zniżek związanych ze stylem życia (papierosy, alkohol, sporty ekstremalne, styl jazdy samochodem)
Profilowanie pośrednie (ocena osoby na podstawie przynależności do określonej grupy) Firmy ubezpieczeniowe - np. korzystniejsze oferty ubezpieczeniowe, kredytowe dla pracowników określonych grup, np. administracji publicznej, nauczycieli
2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki Systemy monitoringu wykorzystywane do zarządzania ruchem lub przeciwdziałania zagrożeniom/nadużyciom drogowym, umożliwiające szczegółowy nadzór nad każdym kierowcą oraz jego zachowaniem na drodze, w szczególności systemy pozwalające na automatyczną identyfikację pojazdów

Systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, automatycznego ustalania cen promocyjnych w oparciu o profil

Drogi objęte odcinkowym pomiarem prędkości (system gromadzi informacje nie tylko o pojazdach naruszających przepisy, ale o wszystkich pojazdach pojawiających się w kontrolowanym obszarze), odcinki dróg wyposażone w system elektronicznego poboru opłat viaTOLL

Sklepy internetowe oferujące ceny promocyjne dla określonych grup klientów.

Firmy obsługujące programy lojalnościowe (wspólnoty zakupowe)

Monitorowanie zakupów i preferencji zakupowych (np. alkohol, słodycze) Programy marketingowe zawierające elementy profilowania osób
3. Systematyczne monitorowanie na dużą skale miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajda si w monitorowanej przestrzeni.

Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa

Rozbudowane systemy monitoringu przestrzeni publicznej umożliwiające śledzenie osób i pozyskiwanie danych wykraczających poza dane niezbędne do świadczenia usługi Środki komunikacji miejskiej, miasta oferujące systemy wypożyczania rowerów, samochodów oraz wyznaczające strefy płatnego parkowania
Systemy monitorowania czasu pracy pracowników oraz wykorzystywanych przez nich narzędzi (poczty elektronicznej, internetu) Zakłady pracy (monitoring systemów informatycznych).

Nieświadomość pracowników w zakresie monitorowania ich poczty elektronicznej, używania aplikacji, kart dostępowych itp.

Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym w urządzeniach zintegrowanych z mundurem, kaskiem lub w inny sposób połączonych z osobą pozyskującą dane Przetwarzanie informacji pozyskiwanych przez internet rzeczy (opaski medyczne, smartwatche itp.) oraz ich przesyłanie w sieci przy użyciu urządzeń mobilnych typu smartfon czy tablet
Mobilny system monitoringu wykorzystywany przez funkcjonariuszy publicznych m.in. policji, straży pożarnej, straży miejskiej, straży granicznej itp. Patrole policji/straży miejskiej wyposażone w kamery umieszczane na mundurach, wykorzystywane np. w celu ochrony bezpieczeństwa państwa (straż graniczna) czy ochrony porządku publicznego (policja)
Systemy monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami Systemy komunikujące się typu maszyna - maszyna, w których samochód informuje otoczenie o swoim zachowaniu (ruchu) i w przypadku pojawiającego się zagrożenia otrzymuje od tego otoczenia (infrastruktura drogowa, inne samochody) komunikaty ostrzegawcze
Systemy wykorzystujące RFID w przypadku, gdy znaczniki są lub mogą być przypisane osobom fizycznym Opinia Europejskiego Komitetu Ekonomiczno-Społecznego w sprawie identyfikacji radiowej (RFID)

(2007/C 256/13)

Dane dotyczące zdrowia pacjentów/klientów Szpitale/Organizacje prowadzące badania kliniczne

Kluby fitness/podmioty/organizacje pobierające materiał genetyczny do badań

4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29) Nagrywanie przebiegu interwencji przez funkcjonariusza służby mundurowej przy użyciu kamery umieszczonej na mundurze, którą funkcjonariusz włącza w czasie zauważenia/ujawnienia czynu zabronionego Rejestracja incydentów podczas akcji interwencyjnych straży miejskiej, policji i innych uprawnionych organów
Przetwarzanie danych biometrycznych klientów lub pracowników w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu, np. wejścia do określonych obszarów, pomieszczeń lub uzyskania dostępu do określonego konta w systemie informatycznym w celu np. wykonania zlecenia transakcji w systemie teleinformatycznym lub wypłaty gotówki przy użyciu bankomatu itp. Systemy kontroli czasu pracy; systemy kontroli wejścia do określonych pomieszczeń; systemy rozliczeniowo-ewidencyjne operacji bankowych, handlowych, ubezpieczeniowych; systemy kontroli wejść do klubów fitness, hoteli itp.
Przetwarzanie przez organy państwowe lub podmioty prywatne danych osobowych dotyczących przynależności partyjnej i/lub preferencji wyborczych Partie polityczne, komitety wyborcze, komitety referendalne i inicjatywy ustawodawcze, organizacje społeczne, kampanie wyborcze
Regularne przetwarzanie danych pomiarowych umożliwiające obserwację stylu życia, przemieszczania się w terenie, intensywności korzystania z mediów, energii itp. (np. danych geolokalizacyjnych, danych z liczników pomiarowych o zużywanej energii, danych bilingowych dotyczących komunikacji elektronicznej itp.) Operatorzy telekomunikacyjni; dostawcy mediów (prąd, gaz, woda) w zakresie inteligentnego opomiarowania - zalecenie 2012/148/UE zalecenia Komisji Europejskiej z marca 2012 r. w sprawie przygotowań do rozpowszechniania inteligentnych systemów pomiarowych
Portale i inne systemy informatyczne oferowane osobom fizycznym do przetwarzania informacji obejmujących działania o charakterze czysto osobistym lub domowym (jak np. usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcje robienia notatek oraz różne aplikacje typu "life-logging", które mogą zawierać informacje o bardzo osobistym charakterze), których ujawnienie lub przetwarzanie do celów innych niż czynności o charakterze domowym może być uznane za bardzo ingerujące w prywatność Usługi poczty elektronicznej; systemy monitoringu osiągnięć sportowych współpracujące z opaskami typu fitness wykorzystujące chmurę obliczeniową;

aplikacje dostarczane przez producentów czytników elektronicznych do zakupu książek, gazet elektronicznych z funkcjami robienia notatek itp.

5. Dane przetwarzane na dużą skale, udzie pojęcie dużej skali dotyczy:

* liczby osób, których dane są przetwarzane,

* zakresu przetwarzania,

* okresu przechowywania danych oraz

* geograficznego zakresu przetwarzania

Centralne zbiory danych wspomagające zarządzanie określoną grupą osób w celach związanych z realizacją zadań publicznych, z których dane udostępniane są w różnym zakresie w zależności od ich roli i zadań związanych z realizacją tych obowiązków Centralny system:

- informacji oświatowej;

- informacji w szkolnictwie wyższym;

- obsługi ubezpieczeń komunikacyjnych;

- kwalifikacji zawodowych itp.

Zbieranie danych w szerokim zakresie o przeglądanych stronach internetowych, realizowanych zakupach, oglądanych programach telewizyjnych lub radiowych itp. Portale społecznościowe, przeglądarki internetowe, dostawcy usług telewizji kablowej, serwisy subskrypcyjne z filmami i programami telewizyjnymi dostępne na urządzeniach z dostępem do internetu
6. Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł Łączenie danych z różnych rejestrów państwowych i/lub publicznych Firmy marketingowe pobierające dane z różnych źródeł, gdzie występują dane osobowe o klientach, w celach przeprowadzania ukierunkowanych na określone grupy klientów akcji marketingowych
Tworzenie profili osób ze zbiorów danych pochodzących z różnych źródeł (łączenie zbiorów) Firmy marketingowe w celach doskonalenia i rozszerzania profili potencjalnych klientów oraz doskonalenia usług reklamy ukierunkowanej na określone grupy społeczne;

firmy obsługujące programy lojalnościowe (wspólnoty zakupowe)

Zbieranie danych o przeglądanych stronach, wykonywanych operacjach bankowych, zakupach w sklepach internetowych, a następnie ich analiza w celu tworzenia profilu osoby Portale społecznościowe, sieci handlowe, firmy marketingowe, banki i instytucje finansowe
7. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób. które dysponuj a uprawnieniami władczymi i/lub oceniającymi Przetwarzanie danych, w których dokonuje się klasyfikacji lub ocen osób, których dane dotyczą, pod względem np. wieku, płci, a następnie klasyfikacje te wykorzystuje się do przedstawienia ofert lub innych działań, które mogą mieć wpływ na prawa i wolność osób, których dane są przetwarzane Serwisy oferujące pracę, które dokonują dopasowania ofert do określonych preferencji pracodawców
Systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) - w szczególności gdy przetwarzane są w nim dane pracowników Systemy służące do zgłaszania nieprawidłowości (whistleblowing)
8. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych Systemy zdalnego opomiarowania, które biorąc pod uwagę zakres i częstość zbierania danych umożliwiają profilowanie osób lub grupy osób

Systemy analizy i przetwarzania danych znajdujących się w metadanych, np. zdjęcia opatrzone danymi geolokalizacyjnymi

Sprzedawcy i dystrybutorzy mediów (prąd, gaz, woda, usługi telekomunikacyjne) wdrażający liczniki inteligentne

Serwisy internetowe przetwarzające dane z urządzeń typu internetu rzeczy, np. aparatów fotograficznych wyposażonych w funkcje lokalizacyjne (GPS)

Systemy stosowane do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń przenośnych typu: smartwatch, inteligentne opaski, beacony itp. analizujące i przekazujące dane dostawcom przy użyciu aplikacji mobilnych Zastosowanie komunikacji między urządzeniami (internet rzeczynp. beacony, drony) w przestrzeni publicznej i w miejscach użyteczności publicznej
Stosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne Aplikacje z funkcjami komunikowania się i oprogramowaniem umożliwiającym wymianę informacji z najbliższym otoczeniem oraz zdalnie poprzez sieć telekomunikacyjną
Usługi i zabawki dedykowane dzieciom Zabawki interaktywne
Konsultacje telemedyczne z ośrodkami spoza UE, przekazywanie osobowych danych medycznych o zasięgu międzynarodowym Specjalistyczne porady i konsultacje medyczne, badania kliniczne o zasięgu międzynarodowym
9. Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy Uzależnianie decyzji kredytowej dla potencjalnych klientów na podstawie informacji zawartych w bazach zawierających informacje o dłużnikach lub podobnych bazach danych Podmioty udzielające pożyczek i kredytów oraz oferujące sprzedaż ratalną
Uzależnianie możliwości korzystania z usługi od informacji w zakresie dochodów, kwoty wydatków miesięcznych i innych wartości zebranych w wyniku profilowania Sklepy internetowe oraz dostawcy innych usług typu gry, muzyka, loterie itp.

Zmiany w prawie

Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Na zwolnieniu w jednej pracy, w drugiej - w pełni sił i... płacy

Przebywanie na zwolnieniu lekarskim w jednej pracy nie wykluczy już możliwości wykonywania pracy i pobierania za nią wynagrodzenia w innej firmie czy firmach. Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało właśnie projekt ustawy, który ma wprowadzić też m.in. definicję pracy zarobkowej - nie będzie nią podpisanie w czasie choroby firmowych dokumentów i nie spowoduje to utraty świadczeń. Zwolnienie lekarskie będzie mogło przewidywać miejsce pobytu w innym państwie. To rewolucyjne zmiany. Zdaniem prawników, te propozycje mają sens, nawet jeśli znajdą się tacy, którzy będą chcieli nadużywać nowych przepisów.

Beata Dązbłaż 29.10.2024
Bez kary za brak lekarza w karetce do połowy przyszłego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz trzeci czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa medycznego. Ostatnio termin wyznaczono na koniec tego roku, teraz ma to być czerwiec 2025 r.

Beata Dązbłaż 23.09.2024
Darowizny dla ofiar powodzi z zerową stawką VAT

Można już stosować zerową stawkę VAT na darowizny dla ofiar powodzi - rozporządzenie w tej sprawie obowiązuje od 18 września, ale z możliwością stosowania go do darowizn towarów i nieodpłatnych usług przekazanych począwszy od 12 września do 31 grudnia 2024 r. Stawka 0 proc. będzie stosowana do darowizn wszelkiego rodzaju towarów lub usług niezbędnych do wsparcia poszkodowanych.

Monika Sewastianowicz 18.09.2024
Lewiatan: Za reformę płacy minimalnej będą musieli zapłacić pracodawcy

Projekt ustawy o minimalnym wynagrodzeniu jest słaby legislacyjnie. Nie tylko nie realizuje celów zawartych w unijnej dyrektywie, ale może przyczynić się do pogłębienia problemów firm i spadku zatrudnienia. Nie poprawi też jakości pracy w naszym kraju. Utrwala zwiększanie presji płacowej – uważa Konfederacja Lewiatan.

Grażyna J. Leśniak 10.09.2024