Konieczność dokonania oceny skutków dla ochrony danych (DPIA)

Przeprowadzenie oceny skutków dla ochrony danych (zwanej także w skrócie DPIA), jest obowiązkiem podmiotów, które przetwarzają dane osobowe jako ich administratorzy. W czasach pandemii jest to szczególnie istotne z uwagi na konieczność wprowadzania nowych procedur, w ramach których dochodzi do przetwarzania danych osobowych.

Przepisy RODO ogólnie wskazują, że taka ocena musi zostać przeprowadzona w sytuacjach, gdy przetwarzanie danych może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane są przetwarzane. Dotyczy to zwłaszcza sytuacji, kiedy wykorzystuje się do tego nowe technologie, szczególne kategorie danych osobowych (np. dane o zdrowiu) albo kiedy dokonuje się kompleksowej oceny osób w sposób zautomatyzowany i systematyczny.

Prezes Urzędu Ochrony Danych Osobowych w swoim komunikacie doprecyzował, które operacje wymagają przeprowadzenia oceny. Jako przykłady takich operacji wskazał m. in.:

  • rozwiązania compliance służące do zgłaszania nieprawidłowości takich jak mobbing czy korupcja,
  • łączenie danych uzyskiwanych z różnych publicznie dostępnych rejestrów,
  • gdy decyzja kredytowa jest podejmowana na podstawie informacji zebranych w bazach danych dotyczących dłużników,
  • dokonywanie oceny zdolności kredytowej za pomocą algorytmów,
  • monitorowanie zakupów i preferencji zakupowych klientów,
  • przetwarzanie danych o lokalizacji osób (np. pracowników),
  • analiza i przekazywanie danych dostawcom usług przy użyciu aplikacji mobilnych z urządzeń przenośnych takich jak inteligentne opaski czy smartwatche,
  • przetwarzanie danych genetycznych (np. testy DNA)
  • przetwarzanie danych biometrycznych w celu identyfikacji osób bądź w celu kontroli dostępu (np. do pomieszczeń).

Niestety nie jest to katalog zamknięty, dlatego to na administratorze danych ciąży obowiązek każdorazowej oceny czy przeprowadzenie DPIA jest konieczne.

Co ważne, ocenę należy przeprowadzić przed rozpoczęciem przetwarzania. Nie jest to łatwa procedura – taka ocena musi zawierać m. in. opis planowanych operacji oraz celów przetwarzania, ocenę, czy działania te są niezbędne oraz proporcjonalne, jak również jakie jest ryzyko związane ze stosowanym rozwiązaniem,a także wskazanie środków, które będą zastosowane w celu ochrony danych osobowych oraz praw osób, których dane dotyczą. Przeprowadzona ocena powinna zostać utrwalona i zachowana na wypadek kontroli prowadzonej przez Prezesa Urzędu Ochrony Danych Osobowych. W przeciwnym wypadku organ ten może nałożyć karę pieniężną w wysokości do 2 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, przy czym jeśli będzie to kwota poniżej 10 000 000 EUR, to górnym limitem kary będzie 10 000 000 EUR.

Jeśli mają Państwo wątpliwości, które procesy przetwarzania danych osobowych w Państwa przedsiębiorstwie wymagają przeprowadzenia takiej oceny, zachęcamy do kontaktu z Kancelarią.

Niniejszy newsletter nie stanowi porady prawnej ani podatkowej. Kancelaria nie ponosi odpowiedzialności za wykorzystanie informacji w nim zawartych bez wcześniejszego zasięgnięcia opinii Kancelarii.