Przegląd mediów

wrzesień 2019

Lista procesów wymagających oceny skutków dla ochrony danych

2019-09-16  |  10:25
Przegląd mediów

W dniu 17 lipca 2019 r. Prezes Urzędu Ochrony Danych Osobowych opublikował komunikat zawierający wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. To bardzo istotny dokument, ponieważ przedsiębiorcy, którzy przetwarzają dane w sposób wskazany w wykazie, będą zobligowani do wykonania oceny skutków przetwarzania danych dla ich ochrony. Jej brak może zostać uznany za naruszenie RODO i obarczony sankcją.

Dlaczego trzeba wykonać ocenę ryzyka?

Właściwa ocena ryzyka jest podstawowym założeniem RODO. Konstrukcja tego aktu jest właściwa dla nowych trendów w zakresie stanowienia prawa w ramach Unii Europejskiej. Zgodnie z tymi trendami nowe akty prawne przede wszystkim przedstawiają skutek, jaki musi zostać osiągnięty przez adresata normy (w tym przypadku – przedsiębiorców) i na niego przerzuca obowiązek zapewnienia zgodności z zasadami wynikającymi z aktu. W przypadku RODO podstawowym obowiązkiem Administratora danych jest zapewnienie zgodności z przepisami Rozporządzenia, tj. przetwarzanie danych w zgodzie z przepisami prawa.

Jedną z norm wynikających z RODO jest konieczność wykonania w pewnych sytuacjach przez Administratorów danych oceny skutków przetwarzania dla ich ochrony. Ocena skutków przetwarzania dla ich ochrony to swoiste podsumowanie (liczbowe, opisowe) danego rodzaju przetwarzania danych przygotowane przez przedsiębiorcę. Taka ocena musi zawierać „systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora, ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy”.

Kiedy ocena skutków?

Co do zasady wykonanie takiej oceny jest obowiązkowe, „jeżeli dany rodzaj przetwarzania danych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Oznacza to, że nie każdy rodzaj przetwarzania danych (nie każda operacja przetwarzania) będzie wymagał wykonania oceny skutków przetwarzania dla ochrony danych, a jedynie te, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nasuwa się w tym momencie oczywiste pytanie, skąd przedsiębiorca ma wiedzieć, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co będzie obligować go do wykonania oceny skutków przetwarzania danych dla ich ochrony?

RODO wskazuje trzy kategorie rodzajów przetwarzania, które obligatoryjnie wymagają wykonania oceny skutków przetwarzania danych dla ich ochrony. Są to przypadki, w których dokonuje się „(a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, (b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub (c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie”.

Wpływ komunikatu PUODO na przedsiębiorców

Uzupełnieniem rodzajów operacji przetwarzania danych, które będą wymagały wykonania przez Administratorów oceny skutków przetwarzania danych dla ich ochrony, jest wykaz opublikowany przez Prezesa Urzędu Ochrony Danych Osobowych. Wykaz jest dużo bardziej szczegółowy i obszerniejszy niż wskazania zawarte w RODO. Nie stanowi on jednak katalogu zamkniętego sytuacji, w których wykonanie oceny skutków jest obligatoryjne – należy bowiem pamiętać, że Administrator danych ma obowiązek zawsze wykonać ocenę skutków, jeżeli dany rodzaj przetwarzania danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wykaz przygotowany przez PUODO ma charakter uzupełniający – tj. Administratorzy, którzy przetwarzają dane w sposób, który znajduje się w wykazie, mogą być pewni, że wykonanie oceny skutków przetwarzania danych dla ich ochrony będzie w tym przypadku obowiązkowe.

Szczególnie istotne w wykazie są pozycje, które mogą odnosić się do bardzo wielu podmiotów przetwarzających dane w podobny sposób. Przykładowo przetwarzanie danych w systemach monitorowania czasu pracy pracowników oraz wykorzystanych przez nich narzędzi (poczty elektronicznej, Internetu) zostało objęte obowiązkiem wykonania oceny skutków. Oznacza to, że takiej oceny będzie musiała dokonać większość pracodawców, bowiem systemy monitorowania czasu pracy oraz wykorzystania sprzętu służbowego są dziś powszechne.

Co robić?

Administratorzy powinni zweryfikować, czy sposób, w jaki przetwarzają dane, znajduje się w wykazie. Ci, którzy przetwarzają dane w inny sposób, powinni zweryfikować, czy ich sposób przetwarzania nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Niewykonanie oceny skutków, w sytuacji, gdy powinna ona być wykonana lub niewłaściwe wykonanie takiej oceny może zostać uznane za naruszenie RODO, a co za tym idzie, być obarczone dotkliwą karą finansową.

Autor:

radca prawny Robert Nogacki

Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku, doradztwie strategicznym dla przedsiębiorców oraz zarządzaniu sytuacjami kryzysowymi.

 

 

Newseria nie ponosi odpowiedzialności za treści oraz inne materiały (np. infografiki, zdjęcia) przekazywane w „Biurze Prasowym”, których autorami są zarejestrowani użytkownicy tacy jak agencje PR, firmy czy instytucje państwowe.

Informacje z dnia: 16 września

Medium

Więcej ważnych informacji

Komunikat

Ważne informacje dla dziennikarzy radiowych

Dziennikarze radiowi mają możliwość pobierania oryginalnego klipu dźwiękowego oraz  z lektorem w przypadku materiałów, w których ekspertami są obcokrajowcy.

Zapraszamy do kontaktu media|newseria.pl?subject=Kontakt%20dla%20medi%C3%B3w| style="background-color: rgb(255, 255, 255);"|media|newseria.pl 

Jak korzystać z materiałów Newserii?

Ważne informacje dla dziennikarzy i mediów

Wszystkie materiały publikowane w serwisach agencji informacyjnej Newseria przeznaczone są do bezpłatnej dystrybucji poprzez serwisy internetowe, stacje radiowe i telewizje, wydawców prasy oraz aplikacje pełniące funkcję agregatorów newsów. 

Szczegóły dotyczące warunków współpracy znajdują się tutaj.

Jedynka Newserii

Jedynka Newserii

Transport

Blisko 200 mln euro trafi na transport kolejowy i paliwa alternatywne. BGK i Komisja Europejska rozdysponują granty na realizację takich projektów

Przyspieszenie rozwoju europejskiej sieci transportowej oraz paliw alternatywnych – to dwa priorytety finansowania w ramach instrumentu CEF Transport Blending Facility. Prywatne i publiczne podmioty mogą się ubiegać w nim o unijne granty na realizację projektów z tych obszarów. Do rozdysponowania jest w sumie 198 mln euro. Dofinansowanie w minimalnej wysokości 1 mln euro na projekt przyznaje Komisja Europejska. Dotacja łączy się z kredytem udzielanym przez Bank Gospodarstwa Krajowego. To pierwsza instytucja narodowa, która współpracuje z Komisją Europejką przy wdrażaniu tego programu.

Polityka

Pracodawcy RP: Wprowadzenie prezydenckiego pomysłu emerytur stażowych doprowadziłoby do braku pracowników. Wypłacane świadczenia byłyby niskie

Kobiety po 35 latach pracy, a mężczyźni po 40 latach mogliby zyskać prawo do wcześniejszej emerytury stażowej – proponuje Andrzej Duda. Eksperci podkreślają, że jest to postulat, który spodoba się związkowcom, natomiast pracodawcy mogą mieć problem ze znalezieniem pracowników, bowiem osoby ze średnim wykształceniem zyskiwałyby prawo do świadczenia o około 5–7 lat wcześniej niż obecnie. Zdaniem głównego ekonomisty Pracodawców RP przy obecnym stanie demografii sami zainteresowani będą się borykać z niskim poziomem emerytur, niewystarczającym na zaspokojenie podstawowych potrzeb.

CES Las Vegas 2020

Bankowość

Klienci niechętni udostępnianiu fintechom swoich danych transakcyjnych. Bezpieczeństwo kluczowym aspektem zmian w bankowości

Dyrektywa PSD2, która wdraża otwartą bankowość, pozwala fintechom tworzyć całkiem nowe usługi finansowe dla klientów banków. Otwiera także nowe możliwości współpracy tych podmiotów z bankami. Może się jednak okazać, że największym beneficjentem nowych przepisów będą nie fintechy, ale właśnie zaawansowane technologicznie banki. Wynika to po części z niechęci klientów do udostępniania swoich danych transakcyjnych innym podmiotom.

Konsument

96 proc. rodziców świadomie planuje posiłek w podróży z dziećmi. Przy wyborze miejsca kierują się głównie bezpieczeństwem żywności i czystością

Prawie wszyscy rodzie podróżujący z dziećmi na dłuższych trasach świadomie planują posiłki w drodze – wynika z raportu Federacji Konsumentów „Posiłki w podróży z dziećmi”. Przy wyborze miejsca postoju najważniejsza jest higiena przygotowywania posiłków, czystość miejsca i zróżnicowane menu. 82 proc. wybiera restauracje sieciowe.