RODO – wiemy kiedy firma musi wykonać tzw. analizę DPiA (ocena skutków dla ochrony danych)

# Publikacja wykazu i jego znaczenie

Dnia 8 lipca 2019 r. został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Dzień później pojawiła się informacja na stronie Internetowej UODO. What is it about?

Zgodnie z art. 35 ust. 4 RODO Organ Nadzorczy (w Polsce: PUODO) ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje.

As a rule, processing that meets at least two of the indicated criteria will require a data protection impact assessment. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Wykaz może dotyczyć działalności każdego przedsiębiorcy, chociaż pojawiają się w nim przykłady właściwe dla konkretnych branży.

Simplifying: : if a factoring company processes personal data in the manner and using the methods indicated in the list - a special internal procedure should be drawn up - or at least the need to draw up should be considered - completed with a Data Protection Impact Analysis (DPIA) of the processing.

# Jakie przykłady ryzykownego przetwarzania danych osobowych znajdziemy w wykazie

  • Firma przetwarzająca dane lokalizacyjne pracownika – zarówno co do jego stanowiska pracy, miejsca pracy, samochodu, miejsca pobytu;
  • Firma monitorująca czas pracy pracowników z wykorzystaniem analizy np. poczty elektronicznej;
  • Firma stosująca system rozpoznawania twarzy albo głosu/odcisków palców celem weryfikacji dostępu / tożsamości (np. zakład pracy, hotel, biuro);
  • Firma stosująca system do zgłaszania nieprawidłowości typu whistleblowing;
  • Firma stosująca system RFID (np. wjazd na teren firmy z karty) w przypadku, gdy znaczniki/etykiety są lub mogą być przypisane osobom fizycznym;
  • Klub fitness zbierający dane dot. zdrowia klientów;
  • Zakład medyczny/laboratorium oferujący diagnostykę genetyczną;
  • Firma marketingowa tworząca profile osób w oparciu o dane osobowe z różnych źródeł;
  • Firma pożyczkowa oceniająca klienta z wykorzystaniem algorytmów sztucznej inteligencji / tzw. automatów scoringowych;
  • Firma pożyczkowa podejmująca decyzje kredytowe w oparciu o informacje z baz danych o dłużnikach, albo analizę budżetu domowego;
  • Firma headhunterska profilująca potencjalnych łowionych pracowników na FB;
  • Firma ubezpieczeniowa która chce różnicować wysokość składki w oparciu o styl życia albo jazdy klienta;
  • Firma oferująca programy lojalnościowe profilująca klientów;
  • Firma monitorująca preferencje zakupowe użytkowników np. w zakresie słodyczy;
  • Firma wypożyczająca pojazdy i monitorująca nie tylko lokalizację ale i styl jazdy;

# Twoja firma przetwarza dane w sposób wskazany w wykazie, do dalej?

Konieczna jest analiza obowiązku sporządzenia  tzw. oceny skutków dla ochrony danych (DPiA). Firma in fact prior to the start of data processing (e.g., the launch of a scoring machine), assess the effects of planned processing operations on the protection of personal data. Such an assessment is an internal analysis that includes, among other things, a systematic description of the planned processing operations and purposes, an assessment of whether the operations are necessary to achieve the purposes, an evaluation of the risk of violation of rights or freedoms, and measures planned to manage the risk, including safeguards to ensure the protection of personal data taking into account the legitimate interests of the persons whose data will be processed.

Co istotne: firma (administrator) powinna sporządzić ocenę z Inspektorem, w niektórych przypadkach ma obowiązek zasięgnięcia opinii osób których dane będą przetwarzane. Firma ma też obowiązek uwzględnić kodeksy branżowe. Dodatkowo w przypadku wysokiego ryzyka gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym – Prezesem Urzędu Ochrony Danych osobowych, który w terminie 8 tygodni od wpłynięcia wniosku udziela administratorowi pisemne zalecenia.

A DPIA can be prepared by a professional data protection officer, as well as lawyers specializing in data protection. Should you wish to obtain a quote for such a service, we encourage you to zachęcamy do kontaktu.

Share on...

Worth Reading

Bartosz Nadra

Attorney | Managing Partner

#timefactoring

Poland's first blog on the legal aspects of factoring

Lukasz Jaskowiak

Attorney | Managing Partner

#time real estate

A blog dedicated to real estate law in its broadest sense

Piotr Szwechłowicz

Legal Counsel | Managing Partner

#Timatransport

Welcome to the blog dedicated to public transportation and the TSL industry.