8 lipca 2019 r. w Monitorze Polskim został ogłoszony Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Został on wydany na podstawie art. 35 ust. 4 RODO zgodnie, z którym organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.
Ogłoszony wykaz zawiera 12 kategorii rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje. Zgodnie z jego treścią czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, wymagają przeprowadzenia oceny skutków dla ochrony danych. Wymóg taki istnieje także, gdy administratorzy danych monitorują zachowania osób w kilku państwach członkowskich.
Co do zasady, przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, a w konsekwencji, niezależnie od środków przewidzianych przez administratora do zastosowania, wymagana będzie ocena skutków dla ochrony danych.
Przykład: Administrator oferuje system monitoringu osiągnięć sportowych, wykorzystujący chmurę obliczeniową, współpracujący z inteligentnymi opaskami rejestrującymi dane dotyczące tętna (przetwarzanie szczególnych kategorii danych osobowych – pozycja 4 wykazu) oraz dane lokalizacyjne (przetwarzanie danych lokalizacyjnych – pozycja 12 wykazu).
Wykaz ten został zaktualizowany po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.
Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 35 ust 4 i 6 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych dostępnego na stronie: http://monitorpolski.gov.pl/MP/2019/666.
Prawdopodobnie w następnych wpisach poświęcimy więcej uwagi poszczególnym pozycjom z przytoczonego wykazu.
Źródło: https://www.uodo.gov.pl/pl/138/1094