Ocena skutków dla ochrony danych – kiedy należy ją przeprowadzić?

Choć od wejścia w życie RODO minął już ponad rok, wielu administratorów danych oraz IOD wciąż ma praktyczne problemy z przeprowadzeniem analizy ryzyka oraz podjęciem decyzji o przeprowadzeniu oceny skutków dla ochrony danych (OSOD). Nie wspominając nawet o problemach z uświadomieniem sobie, że przeprowadzenie oceny jest w konkretnym przypadku wymagane.

Kiedy przeprowadzić OSOD wg RODO?

Przepisy Rozporządzenia są dość ogólne. Mówią nam o tym, że OSOD jest wymagany wówczas, gdy:

„dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”

RODO wskazuje nam także, iż OSOD jest wymagany w szczególności w przypadku:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Dlatego, przepisy Rozporządzenia przewidują możliwość wydania przez organ nadzorczy komunikatu, precyzującego, kiedy konkretnie przeprowadzenie oceny skutków dla ochrony danych jest wymagane.

blog infografika osod blog

OSOD kiedy w szczególności przeprowadzić wg RODO?

Kiedy przeprowadzić OSOD wg PUODO?

Już 17 sierpnia 2018 roku, Prezes Urzędu Ochrony Danych osobowych ogłosił wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Został on jednak zastąpiony nowym wykazem, z 17 czerwca 2019 roku.

W odróżnieniu od uprzedniego, nowy wykaz zawiera aż 12 rodzajów / kryteriów operacji przetwarzania, dla których wymagane jest przeprowadzenie OSOD. Są to:

  1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych

 

Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Media społecznościowe, firmy marketingowe, firmy headhunterskieProfilowanie użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej
Banki, inne instytucje finansowe upoważnione do udzielania kredytów, instytucje pożyczkowe w procesie oceny zdolności kredytowejOcena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji, objęta obowiązkiem zachowania tajemnicy i żądanie ujawnienia danych niemających bezpośredniego związku z oceną zdolności kredytowej
Firmy ubezpieczeniowe – oferowanie zniżek związanych ze stylem życia (papierosy, alkohol, sporty ekstremalne, styl jazdy samochodem)Ocena stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych w celu np. podwyższenia im ceny składki ubezpieczeniowej, na podstawie tej oceny, nazywana ogólnie optymalizacją składki ubezpieczeniowej
Firmy ubezpieczeniowe – np. korzystniejsze oferty ubezpieczeniowe lub kredytowe dla pracowników określonych grup, np. administracji publicznej, nauczycieliProfilowanie pośrednie (ocena osoby na podstawie przynależności do określonej grupy)

 

 

  1. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki

 

Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Drogi objęte odcinkowym pomiarem prędkości (system gromadzi informacje nie tylko o pojazdach naruszających przepisy, ale o wszystkich pojazdach pojawiających się w kontrolowanym obszarze), odcinki dróg wyposażone w system elektronicznego poboru opłat viaTOLLSystemy monitoringu wykorzystywane do zarządzania ruchem, umożliwiające szczegółowy nadzór nad kierowcą oraz jego zachowaniem na drodze, w szczególności systemy pozwalające na automatyczną identyfikację pojazdów Systemy automatycznego pobierania opłat za wjazd
Sklepy internetowe oferujące ceny promocyjne dla określonych grup klientów. Firmy obsługujące programy lojalnościowe (wspólnoty zakupowe)Systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, automatycznego ustalania cen promocyjnych w oparciu o profil
Programy marketingowe zawierające elementy profilowania osóbMonitorowanie zakupów i preferencji zakupowych (np. alkohol, słodycze)

 

  1. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni. Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa
Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Środki komunikacji miejskiej, miasta oferujące systemy wypożyczania rowerów, samochodów oraz wyznaczające strefy płatnego parkowaniaMonitorowanie osób korzystających z usług w przestrzeni publicznej, przy wykorzystaniu danych wykraczających poza dane niezbędne do świadczenia tych usług
Zakłady pracy (monitoring systemów informatycznych poczty elektronicznej, używanego oprogramowania, kart dostępowych itp.)Systemy monitorowania czasu pracy pracowników oraz przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, Internetu) Kryterium: systematyczne monitorowanie (vide WP 2491 ) + wrażliwe podmioty danych
Przetwarzanie informacji pozyskiwanych przez Internet rzeczy (opaski medyczne, smartwatche itp.) oraz ich przesyłanie w sieci przy użyciu urządzeń mobilnych typu smartfon czy tabletGromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym w urządzeniach zintegrowanych z mundurem, kaskiem lub w inny sposób połączonych z osobą pozyskującą dane
Systemy komunikujące się typu maszyna – maszyna, w których samochód informuje otoczenie o swoim zachowaniu (ruchu) i w przypadku pojawiającego się zagrożenia otrzymuje od tego otoczenia (infrastruktura drogowa, inne samochody) komunikaty ostrzegawczeSystemy monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami
Opinia Europejskiego Komitetu Ekonomiczno- -Społecznego w sprawie identyfikacji radiowej (RFID) (2007/C 256/13)Systemy wykorzystujące RFID w przypadku, gdy znaczniki/etykiety są lub mogą być przypisane osobom fizycznym
                Szpitale/Organizacje prowadzące badania kliniczne. Kluby fitness/ podmioty/ organizacje pobierające materiał genetyczny do badańDane dotyczące zdrowia pacjentów/klientów

 

  1. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29)
Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Partie polityczne, komitety wyborcze, komitety referendalne i inicjatywy ustawodawcze, organizacje społeczne, kampanie wyborczePrzetwarzanie przez organy państwowe lub podmioty prywatne danych osobowych dotyczących przynależności partyjnej i/lub preferencji wyborczych
Operatorzy telekomunikacyjni; dostawcy mediów (prąd, gaz, woda) w zakresie inteligentnego opomiarowania – Zalecenie 2012/148/UE Komisji Europejskiej z marca 2012 r. w sprawie przygotowań do rozpowszechniania inteligentnych systemów pomiarowychRegularne przetwarzanie danych pomiarowych umożliwiające obserwację stylu życia, przemieszczania się w terenie, intensywności korzystania z mediów, energii itp. (np. danych geolokalizacyjnych, danych z inteligentnych liczników pomiarowych o zużywanej energii, danych bilingowych dotyczących komunikacji elektronicznej itp.)
Usługi poczty elektronicznej; systemy monitoringu osiągnięć sportowych współpracujące z opaskami typu fitness wykorzystujące chmurę obliczeniową; aplikacje dostarczane przez producentów czytników elektronicznych do zakupu książek, gazet elektronicznych z funkcjami robienia notatek itp.Serwisy internetowe i inne systemy informatyczne oferowane osobom fizycznym do przetwarzania informacji obejmujących działania o charakterze czysto osobistym lub domowym (jak np. usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcje robienia notatek oraz różne aplikacje typu „life-logging”, które mogą zawierać informacje o bardzo osobistym charakterze), których ujawnienie lub przetwarzanie do celów innych niż czynności o charakterze domowym może być uznane za bardzo ingerujące w prywatność

 

  1. Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu
Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Systemy rozpoznawania twarzy, weryfikacja tożsamości w miejscu pracy w celu kontroli dostępu, weryfikacja tożsamości w urządzeniach/ aplikacjach (wliczając rozpoznawanie głosu, odcisków palców, twarzy); systemy monitoringu wejść do określonych pomieszczeń; systemy rozliczeniowo- -ewidencyjne operacji bankowych, handlowych, ubezpieczeniowych; systemy kontroli wejść do klubów fitness, hoteli itp.Wejścia do określonych obszarów, pomieszczeń lub uzyskanie dostępu do określonego konta w systemie informatycznym w celu np. wykonania zlecenia transakcji w systemie teleinformatycznym lub wypłaty gotówki przy użyciu bankomatu itp.

 

  1. Przetwarzanie danych genetycznych
Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Laboratoria/Firmy/Szpitale oferujące diagnostykę genetycznąDiagnoza medyczna Testy DNA Badania medyczne

 

  1. Dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy:
    • liczby osób, których dane są przetwarzane,
    • zakresu przetwarzania,
    • okresu przechowywania danych oraz
    • geograficznego zakresu przetwarzania

 

Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Centralny system: – informacji oświatowej; – informacji w szkolnictwie wyższym; – obsługi ubezpieczeń komunikacyjnych; – kwalifikacji zawodowych itp.Centralne zbiory danych wspomagające zarządzanie określoną grupą osób w celach związanych z realizacją zadań publicznych, z których dane udostępniane są w różnym zakresie w zależności od ich roli i zadań związanych z realizacją tych obowiązków
Portale społecznościowe, przeglądarki internetowe, dostawcy usług telewizji kablowej, serwisy subskrypcyjne z filmami i programami telewizyjnymi dostępne na urządzeniach z dostępem do InternetuZbieranie szerokiego zakresu danych o przeglądanych stronach internetowych, realizowanych zakupach/ historii zakupów, oglądanych programach telewizyjnych lub radiowych itp.

 

  1. Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł
Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Firmy marketingowe pobierające dane z różnych źródeł, gdzie występują dane osobowe o klientach, w celach przeprowadzania ukierunkowanych na określone grupy klientów akcji marketingowychŁączenie danych z różnych rejestrów państwowych i/lub publicznych
Firmy marketingowe w celach doskonalenia i rozszerzania profili potencjalnych klientów oraz doskonalenia usług reklamy ukierunkowanej na określone grupy społeczne; firmy obsługujące programy lojalnościowe (wspólnoty zakupowe)Tworzenie profili osób ze zbiorów danych pochodzących z różnych źródeł (łączenie zbiorów)
Portale społecznościowe, sieci handlowe, firmy marketingowe, banki i instytucje finansoweZbieranie danych o przeglądanych stronach, wykonywanych operacjach bankowych, zakupach w sklepach internetowych, a następnie ich analiza w celu tworzenia profilu osoby

 

  1. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi
Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Serwisy oferujące pracę, które dokonują dopasowania ofert do określonych preferencji pracodawcówPrzetwarzanie danych, w których dokonuje się klasyfikacji lub ocen osób, których dane dotyczą, pod względem np. wieku, płci, a następnie klasyfikacje te wykorzystuje się do przedstawienia ofert lub innych działań, które mogą mieć wpływ na prawa lub wolność osób, których dane są przetwarzane
Systemy służące do zgłaszania nieprawidłowości (whistleblowing)Systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności gdy przetwarzane są w nim dane pracowników

 

  1. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych
Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Sprzedawcy i dystrybutorzy mediów (prąd, gaz, woda, usługi telekomunikacyjne) wdrażający inteligentne licznikiSystemy zdalnego opomiarowania, które, biorąc pod uwagę zakres i częstość zbierania danych, umożliwiają profilowanie osób lub grupy osób
Serwisy internetowe przetwarzające dane z urządzeń typu Internet rzeczy, np. aparatów fotograficznych wyposażonych w funkcje lokalizacyjne (GPS)Systemy analizy i przetwarzania danych znajdujących się w metadanych, np. zdjęcia opatrzone danymi geolokalizacyjnymi
Zastosowanie komunikacji między urządzeniami (Internet rzeczy – np. beacony, drony) w przestrzeni publicznej i w miejscach użyteczności publicznejSystemy stosowane do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń przenośnych typu: smartwatch, inteligentne opaski, beacony itp. analizujące i przekazujące dane dostawcom przy użyciu aplikacji mobilnych
Aplikacje z funkcjami komunikowania się i oprogramowaniem umożliwiającym wymianę informacji z najbliższym otoczeniem oraz zdalnie poprzez sieć telekomunikacyjnąStosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne
Zabawki interaktywneUsługi i zabawki dedykowane dzieciom
Specjalistyczne porady i konsultacje medyczne, badania kliniczne o zasięgu międzynarodowymKonsultacje telemedyczne z ośrodkami spoza UE, przekazywanie osobowych danych medycznych o zasięgu międzynarodowym

 

 

  1. Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy

 

Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Podmioty udzielające pożyczek i kredytów oraz oferujące sprzedaż ratalnąPodejmowanie decyzji kredytowej w stosunku do potencjalnych klientów na podstawie informacji zawartych w bazach zawierających informacje o dłużnikach lub podobnych bazach danych
Sklepy internetowe oraz dostawcy innych usług typu gry, muzyka, loterie itp.Uzależnianie możliwości korzystania z usługi od informacji w zakresie dochodów, kwoty wydatków miesięcznych i innych wartości zebranych w wyniku profilowania

 

  1. Przetwarzanie danych lokalizacyjnych

 

Potencjalne obszary wystąpienia/ istniejące obszary zastosowańPrzykłady operacji/zakresu danych/okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania
Urządzenia, aplikacje i platformy wykorzystujące Internet rzeczy. Przetwarzanie danych w kontekście pracy w domu i pracy wykonywanej zdalnie. Przetwarzanie danych lokalizacyjnych pracownikówPrzetwarzanie wykorzystujące śledzenie lokalizacji osoby fizycznej (wliczając sieci komunikacyjne i usługi komunikacyjne, wskazujące geograficzną pozycję telekomunikacyjnych terminali urządzeń użytkownika publicznie dostępnej usługi telekomunikacyjnej)

 

Pełną treść nowego komunikatu zamieszczamy do pobrania tutaj: [PDF]

Jak przeprowadzić ocenę skutków dla ochrony danych (OSOD)

Podczas organizowanych przez nas warsztatów z analizy ryzyka i oceny skutków dla ochrony danych uczymy jak oszacować zasadność przeprowadzenia oceny skutków dla ochrony danych (OSOD) oraz jak ją przeprowadzić. Zapraszamy: https://szkolenierodo.pl/warsztat-rodo-z-analizy-ryzyka/

Porady RODO kurs rodo

Pytanie: Czy z zewnętrzną firmą świadczącą usługi sprzątające należy podpisać umowę powierzenia przetwarzania danych osobowych? Odpowiedź: Osoba sprzątająca nie jest …

kurs rodo kim jest abi

Administrator Bezpieczeństwa Informacji, potocznie zwany ABIm to osoba czuwająca nad bezpieczeństwem i ochroną przetwarzania danych osobowych, powoływana przez Administratora Danych …

warsztaty IOD ustawa wprowadzajaca rodo

Upoważnienia do przetwarzania danych osobowych w projekcie „ustawy wprowadzającej RODO”   Od rozpoczęcia obowiązywania RODO i nowej ustawy o ochronie …