Ocena skutków dla ochrony danych w świetle ogólnego rozporządzenia o ochronie danych osobowych

Zgodnie z art. 35 RODO administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Co ważne artykuł ten wskazuje również dokładnie, w którym momencie taka ocena powinna być przeprowadzona. Administrator zobowiązany na podstawie powołanego artykułu do przeprowadzenia DPIA musi to zrobić jeszcze przed rozpoczęciem przetwarzania. Dany rodzaj przetwarzania, jeżeli spełnia przesłanki z artykułu 35, nie może się więc rozpocząć bez dokonania takiej oceny. Przy czym należy pamiętać, że nie każdy rodzaj przetwarzania wymaga przeprowadzenia DPIA.

W ust. 3 art. 35 RODO wskazano rodzaje przetwarzania, dla których przeprowadzenie skutków dla ochrony danych jest obowiązkowe. DPIA jest wymagana w szczególności przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych,
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Należy zwrócić uwagę, że ustawodawca unijny posłużył się przy tym wyliczeniu zwrotem „w szczególności” co oznacza, iż powyższe rodzaje przetwarzania wymagające DPIA stanowią katalog otwarty. Organ nadzorczy – w Polsce Prezes Urzędu Ochrony Danych –  ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Niedawno, bo 8 lipca 2019 r. w Monitorze Polskim został ogłoszony najnowszy Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

W wykazie tym znalazły się m. in. takie rodzaje operacji przetwarzania jak przetwarzanie danych genetycznych czy przetwarzanie danych lokalizacyjnych.

Roksana Amza  

Konsultant ds. ochrony danych osobowych w PBSG SA