Zmieniony wykaz operacji przetwarzania wymagających oceny skutków dla ochrony danych
Czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, wymagają przeprowadzenia oceny skutków dla ochrony danych. Wymóg taki istnieje także, gdy administratorzy danych monitorują zachowania osób w kilku państwach członkowskich.
Wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony
8 lipca 2019 r. w Monitorze Polskim został ogłoszony komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.
Zgodnie z art. 35 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.
Kiedy przetwarzanie będzie wymagać oceny skutków dla ochrony danych?
Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje.
Co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji, niezależnie od środków przewidzianych przez administratora do zastosowania, wymagana będzie ocena skutków dla ochrony danych.
Przykład:
Administrator oferuje system monitoringu osiągnięć sportowych, wykorzystujący chmurę obliczeniową, współpracujący z inteligentnymi opaskami rejestrującymi dane dotyczące tętna (przetwarzanie szczególnych kategorii danych osobowych – pozycja 4 wykazu) oraz dane lokalizacyjne (przetwarzanie danych lokalizacyjnych – pozycja 12 wykazu).
Wykaz ten został zaktualizowany po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.
Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 35 ust 4 i 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
Wykaz stanowi załącznik do komunikatu Prezesa Urzędu Ochrony Danych Osobowych.
Skomentuj artykuł - Twoje zdanie jest ważne
Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?