Europejska Rada Ochrony Danych Osobowych oceniła przygotowane przez organy krajowe listy operacji przetwarzania (o polskim wykazie pisaliśmy TU), które niosą wysokie ryzyko dla praw i wolności osób, których dane dotyczą. Ustalenie, że posiadamy w swojej organizacji jedną ze wskazanych operacji pociąga konieczność przeprowadzenia oceny skutków dla ochrony danych osobowych (DPIA – z ang. Data Protection Impact Asesment).
We wstępie przedstawionej opinii Rada wskazuje, podstawy wydania opinii, którymi przede wszystkim jest dbałość o spójne interpretowanie RODO, a także garść uzasadnienia, że elementy wykazów nieobjęte opinią uznane są za zgodne z RODO i nie wymagają omówienia.
Przechodząc do analizy treści omawianej opinii w pierwszej kolejności wskazano na elementy „techniczne” jakich zdaniem Rady zabrakło w prezentowanym wykazie:
czyli brak jednoznacznego wskazania, że przyjęta lista nie ma charakteru wyczerpującego, a także brak informacji o tym, że wykaz operacji opiera się na wytycznych WP 248 i stanowi ich uzupełnienie.
Przechodząc do merytorycznych zaleceń, rekomendacja rady sprowadza się do ujęcia w wykazie:
- czynności przetwarzania dotyczących danych biometrycznych przetwarzanych w sposób jednoznacznie identyfikujący osoby fizyczne oraz danych genetycznych w powiązaniu z co najmniej jednym z kryterium określonym w art. 35 ust. 3 RODO.
- czynności przetwarzania związanego z „lokalizacją” (ustalaniem danych o lokalizacji) w powiązaniu z co najmniej jednym z kryteriów art. 35 ust. 3 RODO
- wyraźnego odniesienia się do kryteriów opisanych w dokumencie „Grupy roboczej artykułu 29” (WP 248) w kontekście przetwarzania danych pracowniczych w celu monitorowania. Jednocześnie Rada podkreśliła, że w odniesieniu do koncepcji systematycznego przetwarzania danych pracowniczych opinia WP 249 pozostaje aktualna.
Najciekawszą dla przedsiębiorców i instytucji non profit oceną przedstawioną w opinii jest stwierdzenie, że punkty 2,4,5,6,8 i 9 (z polskiej listy)1 są w istocie powtórzeniem wytycznych grupy roboczej, z tą różnicą, że przyjęte wytyczne grupy roboczej zakładają, że dopiero wystąpienie łącznie 2 lub więcej czynników powoduje, że czynność przetwarzania niesie wysokie ryzyko naruszenia praw i wolności osób których dane dotyczą i wymaga oceny wpływu na ochronę danych. Podczas gdy takie ujęcie wytycznych w wskazuje, że realizacja już tylko jednego kryterium wymaga podjęcia tego rodzaju działań. W związku z tym Rada zwróciła się o dostosowanie wykazu do brzmienia wytycznych poprzez wskazanie w że dopiero stwierdzenie dwóch (i więcej) kryteriów powoduje wysokie ryzyko przetwarzania bez względu na przyjęte przez administratora środki bezpieczeństwa.
Z komunikatu wnioskujemy, że zalecenia i rekomendacje nie mają charakteru wiążącego, ale wobec przedstawionej przez Radę oceny wydaje się prawdopodobne, że Wykaz zostanie co najmniej rozbudowany. PUODO otrzymał 14 dni na ustosunkowanie się do opinii orz ewentualne przesłanie zmienionego wykazu. O dalszych postępach będziemy informować.
Sokół Doradztwo Prawne
1) Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki; Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29); Dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: liczby osób, których dane są przetwarzane, zakresu przetwarzania, okresu przechowywania danych oraz geograficznego zakresu przetwarzania; Przeprowadzanie porównań, oceny lub wnioskowania na podstawie analizy danych pozyskanych z różnych źródeł; Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych; Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy.