Ocena skutków przetwarzania - komunikat PUODO

Dnia 24 sierpnia 2018 r. został ogłoszony w Monitorze Polskim pierwszy Komunikat Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako PUODO) z dnia 17 sierpnia 2018 r. W komunikacie zostały wskazane operacje przetwarzania, które wymagają od administratora przeprowadzenia oceny skutków dla ochrony danych osobowych.

Ocena skutków przetwarzania - komunikat PUODO

Rafał Stępniewski

2 września 2018

24 sierpnia 2018 r. został ogłoszony w Monitorze Polskim pierwszy Komunikat Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako PUODO) z dnia 17 sierpnia 2018 r. W komunikacie zostały wskazane operacje przetwarzania, które wymagają od administratora przeprowadzenia oceny skutków przetwarzania danych osobowych w ramach konkretnych kategorii danych osobowych przetwarzanych w firmie. Katalog przypadków, kiedy obowiązkowo trzeba stosować ocenę skutków jest katalogiem zamkniętym.

Czym jest ocena skutków przetwarzania?

Ocena skutków jest mechanizmem, który ma na celu szacowanie prawdopodobieństwa naruszenia praw i wolności osób w związku z przetwarzaniem ich danych osobowych. Ocena skutków dla ochrony danych, na podstawie art. 35 ust. 1 RODO, powinna być przeprowadzona, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wysokie prawdopodobieństwo ryzyka może wynikać z charakteru przetwarzania, a także jego zakresu, kontekstu i celu. W szczególności dotyczy to przetwarzania danych osobowych z użyciem nowych technologii, czyli tzw. przetwarzania zautomatyzowanego. Może obejmować m.in. przetwarzanie danych w celach marketingowych, w celach dostosowywania oferty do preferencji zakupowych klientów, przetwarzania danych szczególnych kategorii, a także monitorowania pracowników.

Co do zasady, administrator powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych przed rozpoczęciem przetwarzania. Ocena może być dokonana zbiorczo dla operacji wiążących się z podobnym, wysokim ryzykiem.

Jak powinno wyglądać dokonywanie oceny skutków przetwarzania w praktyce?

Zgodnie z art. 35 ust. 7 RODO ocena skutków przetwarzania powinna zawierać co najmniej:

  1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Administrator może przeprowadzać oceny skutków przetwarzania w oderwaniu od całego systemu ochrony danych osobowych oraz tzw. dobrych praktyk. Powinien on:

  1. konsultować dokonywanie oceny z inspektorem ochrony danych, jeżeli takiego powołał (art. 35 ust. 2 RODO);
  2. uwzględniać przestrzeganie zatwierdzonych kodeksów postępowania, o których mowa w art. 40 RODO (art. 35 ust. 8 RODO);
  3. w stosownych przypadkach zasięgnąć również opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania (art. 35 ust. 9 RODO);
  4. dokonywać przeglądu – w razie zmiany ryzyka wynikającego z danej operacji przetwarzania, stwierdzić, czy przetwarzanie odbywa się zgodnie z dotychczasową oceną skutków dla ochrony danych (art. 35 ust. 11 RODO).

Co do zasady, na podstawie art. 35 ust. 10 RODO, wymóg oceny skutków przetwarzania nie ma zastosowania do przetwarzania na mocy niezbędności wykonania obowiązku prawnego ciążącego na administratorze oraz wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Ocena może być jednak wymagana, jeżeli państwo członkowskie uzna za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.

Czy zastosowanie się do obecnych wytycznych będzie wystarczające?

Na mocy art. 35 ust. 4 organ nadzorczy, w przypadku Rzeczypospolitej Polskiej – Prezes Urzędu Ochrony Danych Osobowych, ma za zadanie ustanowić i podać do publicznej wiadomości wykaz operacji przetwarzania podlegający wymogowi dokonania oceny skutków dla ochrony danych. Powinien także przekazać wykaz ten Europejskiej Radzie Ochrony Danych Osobowych.

Delegacja ustawowa do wydania komunikatu przez PUODO znalazła się w krajowej ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych, w art. 54 ust. 1 pkt. 1. Na podstawie art. 172 ustawy, Prezes Urzędu Ochrony Danych Osobowych miał trzy miesiące od wejścia w życie ustawy na wydanie pierwszego komunikatu.

Dodatkowo, fakultatywnie, na podstawie art. 54 ust. 1 pkt. 2 ustawy o ochronie danych osobowych, PUODO może ustanowić i podać do publicznej wiadomości wykaz rodzajów przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Analogicznie do wykazu operacji podlegających ocenie, wykaz ten także należy przekazać Europejskiej Radzie Ochrony Danych Osobowych. Możliwość tą przewiduje art. 35 ust. 5 RODO.

Jeżeli chodzi o komunikat z dnia 17 sierpnia 2018 r., to jak wskazuje PUODO na swojej stronie internetowej jest to dopiero pierwsze tego typu ogłoszenie, co sugeruje, że będą publikowane kolejne. Wiemy, że opracowany komunikat powstawał już od kilku miesięcy, ponieważ jeszcze poprzedni organ — GIODO rozpoczął konsultacje w tej sprawie. Wydał także „Proponowany wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych”(2). GIODO, opracowując wstępny wykaz, uwzględnił wytyczne Grupy Roboczej Artykułu 29 – „Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679”.

Mimo, że Grupa Robocza Artykułu 29 wraz z rozpoczęciem obowiązywania RODO została rozwiązana, (a na jej miejsce powołano Europejską Radę Ochrony Danych Osobowych), wytyczne te dotyczą już nowych przepisów i pozostają aktualne i szczególnie cenne dla administratorów, którzy muszą zmierzyć się z przeprowadzeniem oceny skutków przetwarzania dla ochrony danych.

Wracając jednak do opublikowanej na stronie PUODO informacji o komunikacie, to w powiadomieniu znalazła się również wzmianka o tym, że wykaz nie jest pełny. Nie obejmuje on czynności przetwarzania związanych z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii. W tym zakresie PUODO wstrzymuje się z wydaniem rekomendacji do czasu wydania opinii przez Europejską Radę Ochrony Danych.(3)

Podsumowując, należy na bieżąco śledzić działania Prezesa Urzędu Ochrony Danych Osobowych, ponieważ możemy się spodziewać kolejnych komunikatów doprecyzowujących wykazu operacji wymagających dokonania oceny skutków przetwarzania dla ochrony danych. Być może PUODO wyda także wykaz operacji zwolnionych z wymogu, co z pewnością stanowiłoby duże ułatwienie, ponieważ nawet wykaz zawierający przykłady, jakie obecnie ogłosił PUODO pozostawia margines wątpliwości interpretacyjnych.

Jakie operacje znalazły się w wykazie?

Komunikat obejmuje 9 kategorii operacji, dla których będzie wymagane przeprowadzenie oceny. Każda kategoria obejmuje po kilka przykładów operacji, zakresów danych, w których mogą wystąpić, a także okoliczności, których występowanie może powodować wysokie ryzyko naruszenia praw i wolności osób. Dodatkowo do każdego z tych przykładów wskazane zostały potencjalne lub istniejące obszary wystąpienia danego przykładu operacji w ramach konkretnej kategorii operacji, a więc co do zasady branże, rodzaje instytucji oraz kategorie przedsiębiorców, w których mogą przetwarzać dane w opisanych warunkach. Kategorie operacji przetwarzania wyszczególnione przez PUODO to:

  1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych
  2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki
  3. Systematyczne monitorowanie na dużą skale miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni. Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa
  4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29)
  5. Dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy:
    • liczby osób, których dane są przetwarzane,
    • zakresu przetwarzania,
    • okresu przechowywania danych oraz
    • geograficznego zakresu przetwarzania
  6. Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł
  7. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami władczymi i/lub oceniającymi
  8. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych
  9. Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy

Z uwagi na rozbudowaną zawartość komunikatu, proponujemy zapoznanie się z omówieniem części ze wskazanych w nim operacji, które w naszej ocenie najczęściej mogą mieć zastosowanie w branży e-commerce. Dla ułatwienia – w razie zainteresowania dokładną treścią zawartą w komunikacie – poszczególne opisy zostały opatrzone numerem przykładu do konkretnego numeru operacji.

1.4. Operacje, w których dokonywana jest ocena zachowań osób, której wyniki mogą mieć negatywny wpływ na decyzję zapadającą w sprawie danego klienta. Operacje przetwarzania danych związane z analizą zachowań (behawioralną) mogą mieć zastosowanie na przykład przy ocenie stylu życia, odżywiania się, stylu jazdy samochodem, sposobu spędzania czasu itp. między innymi w celu tzw. optymalizacji składki ubezpieczeniowej dla konkretnej osoby. Oznacza to, że na podstawie oceny zebranych informacji o osobie przygotowywana może być dla niej mniej korzystna wycena. Dotyczy przede wszystkim firm ubezpieczeniowych.

1.5. Operacje przetwarzania polegające na profilowaniu klientów ze względu na przynależność do określonej grupy, którego wynik może mieć negatywny wpływ na decyzję zapadającą w sprawie danego klienta. Operacje przetwarzania danych związane z profilowaniem pośrednim dotyczą wnioskowania informacji o osobie o przynależności do określonej grupy, na przykład administracji publicznej, nauczycieli, czy kierowców zawodowych, w celu tzw. optymalizacji składki ubezpieczeniowej. Dotyczy przede wszystkim firm ubezpieczeniowych.

2.2. Operacje wykorzystujące systemy informatyczne do profilowania klientów pod kątem ich preferencji zakupowych w celu w pełni zautomatyzowanego ustalania dla nich cen promocyjnych. Obejmują tzw. zautomatyzowane podejmowanie decyzji, czyli profilowanie, które na podstawie preferencji zakupowych, historii zakupów i innych informacji zgromadzonych przez system, ustalają ceny promocyjne w oparciu o profil. Wywołują istotny skutek dla osoby w postaci zaoferowania ceny produktu, która może być np. mniej korzystna niż innej dla osoby, która przykładowo dokonywała więcej zakupów w przeciągu określonego przez system czasu. Dotyczy w szczególności sklepów internetowych, programów lojalnościowych.

2.3. Operacje wykorzystujące systemy informatyczne do monitorowanie zakupów i preferencji zakupowych swoich klientów – z użyciem ich danych osobowych – w celu dostosowania dla nich na przykład wyświetlanych w przeglądarce reklam. Są to operacje obejmujące tzw. zautomatyzowane podejmowanie decyzji, czyli na przykład wykorzystywanie reklamy śledzącej skierowanej do danego klienta na podstawie monitorowania jego zakupów i preferencji zakupowych (np. alkohol, słodycze, kosmetyki, gadżety). Dotyczy w szczególności firm marketingowych.

3.2. Operacje wykorzystujące systemy informatyczne do monitorowania czasu pracy pracowników i/lub wykorzystywanych przez nich narzędzi (np. poczta elektroniczna, internet, telefon służbowy, karty dostępu).

UWAGA! Powodem monitorowania pracowników ma być tutaj konieczność ich zidentyfikowania i kontrolowania. Nie dotyczy to zastosowania monitoringu wizyjnego dla celów bezpieczeństwa, który jest odtwarzany wyłącznie w razie zajścia incydentu naruszenia prawa. Dotyczy zakładów pracy wykorzystujących monitoring systemów informatycznych.

3.3. Operacje przetwarzania wynikające z zabezpieczeń IT oferowanych klientom aplikacji, które mogą zbierać informacje dotyczące zachowań klienta, jego miejsca przebywania czy też czynności i aktywności wykonywanych przez niego przy użyciu internetu. Przykładowo przy sprzedaży takich gadżetów jak opaski medyczne, smartwatche itp., które następnie są przesyłane przez sieć przy użyciu urządzeń mobilnych typu smartfon czy tablet.

3.6. Operacje wykorzystujące systemy fal radiowych przesyłających dane RFID, (najczęściej wykorzystywane w identyfikatorach zbliżeniowe, karty dostępu),szczególnie jeżeli dany znacznik jest przypisany do konkretnej osoby, może to dotyczyć np. identyfikatorów pracowniczych.

W teorii może to doprowadzić do identyfikacji radiowej osoby przez systemy stosowane poza firmą, która wykorzystuje identyfikatory RFID. Wykonanie analizy lokalizacji, gdzie identyfikator został zarejestrowany może doprowadzić do pozyskania informacji np. o stylu życia czy lokalizacji osoby.

3.7 Operacje wykorzystujące rozpoznawanie osób poprzez przetwarzanie informacji dotyczących zdrowia pacjentów lub klientów. Dotyczy to szeroko rozumianego stanu zdrowia, czyli informacji o chorobach, przyjmowanych lekach, uczuleniach, alergiach, a także kodzie genetycznym. Należy pamiętać, że nie dotyczy to tylko i wyłącznie ogólnie rozumianych placówek medycznych. Mogą to być kluby fitness, gabinety kosmetyczne itp.

4.2 Operacje przetwarzania danych szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, w tym danych biometrycznych klientów lub pracowników w celu ich identyfikacji lub weryfikacji w systemach kontroli dostępu lub uzyskania dostępu do określonego konta w systemie informatycznym. Może dotyczyć to wykonywania transakcji w systemie informatycznym lub wypłaty gotówki przy użyciu bankomatu. Obejmuje systemy kontrolujących czas pracy, systemy kontroli dostępu do określonych pomieszczeń, systemów bankowych, handlowych, ubezpieczeniowych lub wejść do klubów fitness, hoteli itp.

4.5 Operacje związane z dostarczeniem klientom usług, w ramach których mogę wykorzystywać system informatyczny do przetwarzania informacji o charakterze czysto osobistym lub domowym. Mając na uwadze charakter przetwarzanych danych jako czysto osobisty ujawnienie tych informacji może zostać uznane z znaczącą ingerencję w sferę prywatną. Może to obejmować usługi takie jak przetwarzanie danych w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcje robienia notatek oraz różne aplikacje typu „life-logging”, które mogą dotyczyć spraw osobistych oraz systemy monitorowania osiągnięć, które publikują te informacji

6.3. Operacje przetwarzania polegające na tworzeniu profili osobowych na podstawie informacji o przeglądanych stronach, wykonywanych operacjach bankowych, zakupach w sklepach internetowych. Profile te są przygotowywane na podstawie informacji zgromadzonych z różnych źródeł. Dotyczy to m.in. sklepów internetowych, instytucji finansowych czy też firm marketingowych.

7.1. Operacje przetwarzania danych, polegające na klasyfikacji lub ocenie osób, których dane dotyczą pod względem np. wieku, płci, które następnie są wykorzystywane do przedstawienia ofert lub innych działań, które mogą mieć wpływ na prawa i wolności osób których dane są przetwarzane. Na przykład na podstawie oceny zebranych informacji o osobie np. jej wieku, płci oraz kwalifikacji dostosowywane są dla niej oferty pracy. Istotnym elementem tych operacji powinna być przeprowadzanie oceny, jak też dysponowanie władczymi uprawnieniami wobec osób, których dane dotyczą. Dotyczy w szczególności firm prowadzących serwisy oferujące pracę.

7.2. Operacje przetwarzania danych, w których wykorzystywane są systemy informatyczne, służące do zgłaszania nieprawidłowości. Może to dotyczyć przykładowo systemów służących zgłaszaniu przez pracowników przypadków wszelkiego rodzaju nadużyć finansowych, korupcji, czy przypadków mobbingu występujących w firmie z podaniem danych pracowników uczestniczących w tych procederach. Dotyczy to w szczególności firm (m.in. biur rachunkowych), których działalność podlega pod Ustawę o przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu.

8.2. Operacje przetwarzania danych, w których wykorzystywane systemów informatycznych analizujących i przetwarzające metadane. Przykładowo może być to związane z analizą danych z urządzeń pozwalających na przesyłanie danych pomiarowych poprzez wykorzystanie np. GPS, opisujących urządzenie, które przesłało takie dane oraz warunki w jakich te dane zostały pobrane (data i czas pobrania informacji, lokalizacji). Przykładowo firma wykorzystuje systemy analizujące zdjęcia opatrzone danymi geolokalizacyjnymi, czyli informację opisujące urządzenie, które wykonało zdjęcie, ale także warunki w jakich zdjęcie zostało wykonane.

8.5. Operacje polegające na gromadzeniu danych, związanych z zabezpieczeniem IT sprzedawanych dedykowanych dzieciom interaktywnych zabawek oraz usług. Może dotyczyć zbierania danych dzieci lub ich opiekunów, którzy zakupili interaktywne zabawki lub usługi, np.: konsole, gry interaktywne, które np. pozostają cały czas w trybie czuwania i mogą nagrywać wszystkie dźwięki, również kiedy zabawka nie jest używana.

9.1. Operacje przetwarzania danych związane z uzależnianiem udzielenie decyzji kredytowej lub ratalnej od informacji zawartych w bazach zawierających informację o dłużnikach. Na przykład na podstawie informacji o osobie i jej zadłużeniu zapada decyzja o nieprzyznaniu pożyczki lub kredytu. Dotyczy to firm, które udzielają pożyczek i kredytów oraz oferują sprzedaż ratalną.

9.2. Operacje przetwarzania danych, w których wykorzystywane są systemy informatyczne do profilowania klientów pod kątem ich dochodów, kwoty wydatków miesięcznych i innych wartości w celu określenia możliwości korzystania z określonych usług. Może to dotyczyć na przykład podjęcia decyzji na podstawie zgromadzonych danych o dochodach osoby, iż nie może ona skorzystać z danej usługi, albo konieczne jest osiągnięcie w sklepie wydatków sięgających danej kwoty, aby mieć dostęp do określonych produktów. Dotyczy w szczególności sklepów internetowych oraz dostawców usług typu gry, muzyka, loterie itp.

(1) http://monitorpolski.gov.pl/MP/2018/827/

(2) https://giodo.gov.pl/pl/1520281/10430

(3) https://uodo.gov.pl/pl/138/480

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!