UODO: Przed przetwarzaniem danych potrzebna ocena skutków
Czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, wymagają przeprowadzenia oceny skutków dla ochrony danych - taki obowiązek na firmy nałożył w opublikowanym właśnie komunikacie prezes Urzędu Ochrony Danych Osobowych.
Chodzi o zamieszczony z datą 8 lipca 2019 r. w Monitorze Polskim Komunikat Prezesa Urzędu Ochrony Danych Osobowych z 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Zawiera on 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje.
Czytaj w LEX: Przeprowadzenie oceny skutków dla ochrony danych w sektorze publicznym i prywatnym >
Jak zauważa UODO, co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych w Komunikacie kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. - Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji, niezależnie od środków przewidzianych przez administratora do zastosowania, wymagana będzie ocena skutków dla ochrony danych - czytamy w komentarzu UODO.
Sprawdź w LEX: Czy każdy podmiot powinien posiadać Raport z oceny skutków dla ochrony danych? >
Urząd jako przykład sytuacji, w której należy zastosować tę zasadę sytuację, gdy administrator oferuje system monitoringu osiągnięć sportowych, wykorzystujący chmurę obliczeniową, współpracujący z inteligentnymi opaskami rejestrującymi dane dotyczące tętna (przetwarzanie szczególnych kategorii danych osobowych – pozycja 4 wykazu) oraz dane lokalizacyjne (przetwarzanie danych lokalizacyjnych – pozycja 12 wykazu).
Czytaj w LEX: Ocena skutków dla ochrony danych krok po kroku >
UODO zaznacza, że wykaz ten został zaktualizowany po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.
Czytaj: British Airways grozi surowa kara za naruszenie RODO>>
Czytaj w LEX:
- Procedura: Ocena skutków dla ochrony danych >
- Szkolenie online: Ocena skutków dla ochrony danych osobowych w praktyce >
- Odpowiedź na pytanie: W jakiej kolejności należy przeprowadzić analizę ryzyka i ocenę skutków dla ochrony danych (DPIA) w organizacji? >
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.
