Urząd Ochrony Danych Osobowych przesłał już do Europejskiej Rada Ochrony Danych (EROD) zmodyfikowany wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków planowanych operacji dla ochrony danych osobowych (z ang. Data Protection Impact Assessment, DPIA ). EROD swoje krytyczne uwagi na temat wykazu opublikowała na początku października i wskazała dwutygodniowy termin na ich uwzględnienie. Tym razem UODO nie konsultowało już poprawionej wersji wykazu.  - Na tym etapie nie jest przewidziane konsultowanie tego dokumentu. Był on poddany tej procedurze na wcześniejszym etapie, tj. w kwietniu 2018 roku - informuje Agnieszka Świątek-Druś, rzecznik UODO.  Co urząd musiał poprawić?

Zamknięty katalog to błąd

- Pierwszy zarzut EROD dotyczy konstrukcji wykazu – mówi Maciej Kawiorski, prawnik z kancelarii Maruta Wachta. – Zdaniem EROD, wadliwie obejmuje ona wyczerpujący katalog czynności przetwarzania. Tymczasem EROD wprost wskazuje, że wykaz czynności przetwarzania, który jest dalszą specyfikacją art. 35 RODO nie może zawierać zamkniętej listy czynności przetwarzania. Stąd należy w wykazie uwzględnić wyraźną wzmiankę, że zawiera on przykładowe czynności, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment; DPIA) i może być poszerzony o kolejne – tłumaczy Kawiorski.

 


Dane wrażliwe i o lokalizacji
Ponadto EORD wypowiedziała się krytycznie, co do wielu pozycji w wykazie i zasugerowała zastosowanie odpowiednich zmian. Na przykład w zakresie przetwarzania danych biometrycznych (przetwarzanych w celu jednoznacznej identyfikacji określonej osoby fizycznej), danych genetycznych, poprzez wyraźne wskazanie na przetwarzanie wzmiankowanych danych w połączeniu z jednym innym kryterium, o którym mowa w wytycznych Grupy Roboczej art. 29 (obecnie EROD) (wytyczne WP248 rev.01).  Kryterium może być również przetwarzanie danych o charakterze wysoce osobistym, szczególnie gdy są powiązane z gospodarstwem domowym i działalnością - jak dane finansowe.

Ponadto w ocenie EROD, większość organów nadzoru wprost uwzględniła w swoich wykazach czynności przetwarzania dotyczące monitorowania lokalizacji, ale polski wykaz jest tego pozbawiony. - Wprawdzie wzmianka w polskim wykazie o wykorzystywaniu danych o lokalizacji się znajduje, niemniej EROD wymaga ujęcia tego rodzaju przetwarzania danych łącznie wraz z innym kryterium – tłumaczy Maciej Kawiorski. W odniesieniu do czynności przetwarzania danych pochodzących z monitoringu stosowanego w miejscu pracy, EROD nakazuje uwzględnienie wyraźnego nawiązania do dwóch kryteriów wskazanych w wytycznych Grupy Roboczej art. 29 (WP248 i WP249), tj. systematycznego monitorowania oraz przetwarzania danych dotyczących osób wymagających szczególnej opieki, których dane dotyczą (w świetle wytycznych do tej grupy należy zaliczyć pracowników).

 


 

Wymóg spełnienia dwóch kryteriów

Ponadto wytyczne Grupy Roboczej art. 29 stanowią, iż w większości przypadków administrator danych może uznać, że przetwarzanie spełniające co najmniej dwa kryteria, o których mowa w wytycznych WP248, będzie wymagać przeprowadzenia oceny skutków dla ochrony danych. Tymczasem w polskim wykazie tego odniesienia brakuje. - Dodatkowo, im więcej kryteriów spełnia dana czynność przetwarzania, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, co skutkować będzie koniecznością przeprowadzenia DPIA, niezależnie od środków, które administrator danych osobowych ma zamiar przedsięwziąć – dodaje Maciej Kawiorski.

Wykaz ma być bardziej przejrzysty

Niezależnie od powyższych zastrzeżeń, EROD wskazuje, że wykazowi czynności przetwarzania brak wystarczającej transparentności, która jest kluczowa dla administratorów danych osobowych oraz podmiotów przetwarzających (procesorów). UODO jest zatem obowiązany zastosować przejrzyste odniesień do wytycznych Grupy Roboczej art. 29, w tym poprzez precyzyjne wskazania kryteriów, na jakich oparł się sporządzając wykaz.

Co to jest DPIA

Art. 35 ust. 4 RODO  wprowadza nową, dotychczas nieznaną w polskim systemie prawnym, czynność. Chodzi o ocenę skutków planowanych operacji dla ochrony danych osobowych. Administrator danych musi jej dokonać, jeżeli  przetwarzanie  - w szczególności z użyciem nowych technologii -  może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Opracowany przez Urząd Ochrony Danych Osobowych (UODO) na podstawie art. 35 ust. 4 RODO wykaz czynności podlegał ocenie Europejskiej Rady Ochrony Danych (EROD) zgodnie z przepisem artykuł 64 ust. 1 lit. a) RODO, w celu zapewnienia spójności implementacji przepisów rozporządzenia w ramach całego Europejskiego Obszaru Gospodarczego. Obecnie EROD prowadzi ponowną, skoordynowaną ocenę wykazów przygotowanych przez 22 organy do spraw ochrony danych osobowych. - Od jej zakończenia zależy termin upublicznienia nowej wersji polskiego wykazu - mówi Agnieszka Świątek-Druś.

Sprawdź w LEX SIP jak wygląda kontrola UODO: