NOWY WYKAZ OPERACJI WYMAGAJĄCYCH DPIA

W Monitorze Polskim z dnia 08 lipca 2019 r. opublikowany został (nomen omen pod pozycją nr 666) komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (tzw. DPIA).

Wykaz ten stanowi aktualizację wykazu z dnia 17 sierpnia 2018 r., wprowadzając 3 nowe rodzaje operacji przetwarzania danych osobowych wymagające oceny skutków przetwarzania dla ich ochrony. Są to:

  1. Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu – jako przykłady zastosowania podano tu m.in. stosowanie systemów rozpoznawania twarzy lub odcisków palców w celu kontroli dostępu do pomieszczeń, czy w celu skorzystania z usług płatniczych.

  2. Przetwarzanie danych genetycznych – jako przykłady zastosowania podano tu m.in. prowadzenie badań medycznych, diagnozy medycznej czy testów DNA przez podmioty takie jak szpitale i laboratoria oferujące diagnostykę genetyczną.

  3. Przetwarzanie danych lokalizacyjnych – jako przykłady zastosowania podano tu m.in. przetwarzanie danych lokalizacyjnych pracowników (np. GPS w samochodzie służbowym lub lokalizacja telefonu służbowego), a także urządzenia aplikacje i platformy wykorzystujące Internet rzeczy (IoT).

W praktyce, największe znaczenie praktyczne ma dodanie ostatniego z w/w rodzajów operacji przetwarzania. W przeciwieństwie bowiem np. do laboratoriów wykonujących badania genetyczne, istnieje niezliczona liczba podmiotów korzystających z danych lokalizacyjnych. Są to zarówno pracodawcy weryfikujący lokalizację mienia służbowego wydanego pracownikom, jak i dostawcy serwisów online, które sprawdzają i śledzą lokalizację użytkowników.

Dla w/w rodzajów przetwarzania danych osobowych – jak i dla wszystkich innych rodzajów przetwarzania wskazanych w komunikacie z dnia 17 czerwca 2019 r. – administratorzy danych osobowych winni prowadzić ocenę skutków przetwarzania dla ochrony danych osobowych. Ocena taka jest procesem dość trudnym, złożonym i czasochłonnym i prowadzona winna być w zgodzie z art. 35 ogólnego rozporządzenia o ochronie danych (tzw. RODO).

Brak przeprowadzenia oceny skutków dla rodzajów przetwarzania wskazanych w komunikacie podanym przez Prezesa Urzędu Ochrony Danych Osobowych stanowi naruszenie obowiązku wynikającego z art. 35 ust. 4 RODO, co z kolei zagrożone jest administracyjną karą pieniężną do 10.000.000,00 EUR (art. 83 ust. 4 lit. a RODO).

Data publikacji: 09.07.2019

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Obsługa prawna firmy | Kancelaria prawna Poznań, Warszawa, Bydgoszcz