Przegląd mediów

wrzesień 2019

Lista procesów wymagających oceny skutków dla ochrony danych

2019-09-16  |  10:25
Przegląd mediów

W dniu 17 lipca 2019 r. Prezes Urzędu Ochrony Danych Osobowych opublikował komunikat zawierający wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. To bardzo istotny dokument, ponieważ przedsiębiorcy, którzy przetwarzają dane w sposób wskazany w wykazie, będą zobligowani do wykonania oceny skutków przetwarzania danych dla ich ochrony. Jej brak może zostać uznany za naruszenie RODO i obarczony sankcją.

Dlaczego trzeba wykonać ocenę ryzyka?

Właściwa ocena ryzyka jest podstawowym założeniem RODO. Konstrukcja tego aktu jest właściwa dla nowych trendów w zakresie stanowienia prawa w ramach Unii Europejskiej. Zgodnie z tymi trendami nowe akty prawne przede wszystkim przedstawiają skutek, jaki musi zostać osiągnięty przez adresata normy (w tym przypadku – przedsiębiorców) i na niego przerzuca obowiązek zapewnienia zgodności z zasadami wynikającymi z aktu. W przypadku RODO podstawowym obowiązkiem Administratora danych jest zapewnienie zgodności z przepisami Rozporządzenia, tj. przetwarzanie danych w zgodzie z przepisami prawa.

Jedną z norm wynikających z RODO jest konieczność wykonania w pewnych sytuacjach przez Administratorów danych oceny skutków przetwarzania dla ich ochrony. Ocena skutków przetwarzania dla ich ochrony to swoiste podsumowanie (liczbowe, opisowe) danego rodzaju przetwarzania danych przygotowane przez przedsiębiorcę. Taka ocena musi zawierać „systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora, ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy”.

Kiedy ocena skutków?

Co do zasady wykonanie takiej oceny jest obowiązkowe, „jeżeli dany rodzaj przetwarzania danych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Oznacza to, że nie każdy rodzaj przetwarzania danych (nie każda operacja przetwarzania) będzie wymagał wykonania oceny skutków przetwarzania dla ochrony danych, a jedynie te, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nasuwa się w tym momencie oczywiste pytanie, skąd przedsiębiorca ma wiedzieć, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co będzie obligować go do wykonania oceny skutków przetwarzania danych dla ich ochrony?

RODO wskazuje trzy kategorie rodzajów przetwarzania, które obligatoryjnie wymagają wykonania oceny skutków przetwarzania danych dla ich ochrony. Są to przypadki, w których dokonuje się „(a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, (b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub (c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie”.

Wpływ komunikatu PUODO na przedsiębiorców

Uzupełnieniem rodzajów operacji przetwarzania danych, które będą wymagały wykonania przez Administratorów oceny skutków przetwarzania danych dla ich ochrony, jest wykaz opublikowany przez Prezesa Urzędu Ochrony Danych Osobowych. Wykaz jest dużo bardziej szczegółowy i obszerniejszy niż wskazania zawarte w RODO. Nie stanowi on jednak katalogu zamkniętego sytuacji, w których wykonanie oceny skutków jest obligatoryjne – należy bowiem pamiętać, że Administrator danych ma obowiązek zawsze wykonać ocenę skutków, jeżeli dany rodzaj przetwarzania danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wykaz przygotowany przez PUODO ma charakter uzupełniający – tj. Administratorzy, którzy przetwarzają dane w sposób, który znajduje się w wykazie, mogą być pewni, że wykonanie oceny skutków przetwarzania danych dla ich ochrony będzie w tym przypadku obowiązkowe.

Szczególnie istotne w wykazie są pozycje, które mogą odnosić się do bardzo wielu podmiotów przetwarzających dane w podobny sposób. Przykładowo przetwarzanie danych w systemach monitorowania czasu pracy pracowników oraz wykorzystanych przez nich narzędzi (poczty elektronicznej, Internetu) zostało objęte obowiązkiem wykonania oceny skutków. Oznacza to, że takiej oceny będzie musiała dokonać większość pracodawców, bowiem systemy monitorowania czasu pracy oraz wykorzystania sprzętu służbowego są dziś powszechne.

Co robić?

Administratorzy powinni zweryfikować, czy sposób, w jaki przetwarzają dane, znajduje się w wykazie. Ci, którzy przetwarzają dane w inny sposób, powinni zweryfikować, czy ich sposób przetwarzania nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Niewykonanie oceny skutków, w sytuacji, gdy powinna ona być wykonana lub niewłaściwe wykonanie takiej oceny może zostać uznane za naruszenie RODO, a co za tym idzie, być obarczone dotkliwą karą finansową.

Autor:

radca prawny Robert Nogacki

Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku, doradztwie strategicznym dla przedsiębiorców oraz zarządzaniu sytuacjami kryzysowymi.

 

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.

Informacje z dnia: 16 września

Medium

Kalendarium

Jak korzystać z materiałów Newserii?

Bezpłatne materiały wideo, audio, zdjęcia oraz artykuły

Wszystkie materiały publikowane w serwisach agencji informacyjnej Newseria przeznaczone są do bezpłatnej dystrybucji poprzez serwisy internetowe, stacje radiowe i telewizje, wydawców prasy oraz aplikacje pełniące funkcję agregatorów newsów. 

Szczegóły dotyczące warunków współpracy znajdują się tutaj.

Handel

Obniżka podatku PIT nie obciąża budżetu państwa tak bardzo jak program Rodzina 500 plus. Może być jednak kłopotem dla dużych miast

Obniżony od października o punkt procentowy podatek od osób fizycznych objął osoby pracujące na etatach, umowach-zleceniach, umowach o dzieło, prowadzących działalność gospodarczą oraz emerytów i rencistów. Zdaniem ekspertów, o ile państwo ma możliwości zrekompensowania ubytku poprzez emisję długu czy nowelizację budżetu, o tyle duże miasta odczują mniejsze wpływy z podatków bardziej dotkliwie. Choć w przypadku nisko zarabiających różnice będą symboliczne, to w skali kraju obniżka będzie napędzać konsumpcję.

Problemy społeczne

Ponad połowa Polaków uważa, że sztuczna inteligencja wpływa na ich życie codzienne. Wielu obawia się, że odbierze im prywatność i miejsca pracy

Prawie 90 proc. Polaków zna pojęcie sztucznej inteligencji, jednak nie zawsze wiedzą, co naprawdę oznacza. Wprawdzie dostrzegają korzyści związane np. z poprawą komfortu życia czy bezpieczeństwa w miejscu pracy, ale też mają wiele obaw, np. o to, że technologia odbierze im miejsca pracy. Tylko co szósta osoba skorzystałaby z pomocy urządzenia opartego na SI zamiast lekarza – wynika z raportu NASK „Sztuczna Inteligencja w społeczeństwie i gospodarce”. Tymczasem to właśnie odpowiednie nastawienie społeczeństwa jest niezbędne, by polska gospodarka mogła faktycznie rozwijać działania oparte o tę technologię.

Infrastruktura

Budowa farm wiatrowych na Bałtyku może pobudzić przemysł stoczniowy i całą gospodarkę. Przy wielomiliardowych inwestycjach kluczowe jest stabilne otoczenie prawne

PGE Baltica, PKN Orlen i Polenergia są obecnie na najbardziej zaawansowanym etapie projektów budowy farm wiatrowych na Bałtyku. – To właśnie te trzy podmioty ukształtują rynek morskiej energetyki wiatrowej w Polsce do 2030 roku – ocenia Mariusz Witoński, prezes Polskiego Towarzystwa Morskiej Energetyki Wiatrowej. W nadchodzących latach na Bałtyku ma nastąpić boom inwestycyjny, który może dać impuls do rozwoju portów, pobudzić przemysł stoczniowy i całą gospodarkę. Dla inwestorów kluczowe są jednak stabilne warunki legislacyjne do budowy farm wiatrowych na Bałtyku, ponieważ są to projekty liczone w miliardach złotych. Sektor morskiej energetyki wiatrowej chce, żeby zostały one zagwarantowane specjalną ustawą.

Finanse

6 proc. PKB na służbę zdrowia to minimum. Starzenie się społeczeństwa i coraz droższe świadczenia wymuszą dalszy wzrost nakładów

Polska zajmuje jedno z ostatnich miejsc w Unii Europejskiej pod względem nakładów na ochronę zdrowia. Te zgodnie z przyjętą w ubiegłym roku ustawą mają stopniowo wzrosnąć do poziomu 6 proc. PKB do 2025 roku. Eksperci oceniają, że to minimum, które powinno być stopniowo podnoszone. Wzrost wydatków wymusza m.in. niekorzystna demografia i nowe, droższe technologie, które pojawiają się w ochronie zdrowia. – Najważniejszym kierunkiem jest wzrost efektywności, żebyśmy z zasobów, z których w tej chwili korzystamy, byli w stanie wycisnąć jak najwięcej – podkreśla były wiceminister zdrowia Marcin Czech.