Z LEXTRA PRZY KAWIE O PRAWIE- istotne zmiany w wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

Istotne zmiany w wykazie rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony - na podstawie komunikatu Prezesa UODO z dnia 17 czerwca 2019 r. (Poz. 666)

Komunikat Prezesa UODO z dnia 17 czerwca 2019 r. (ogłoszony w dniu 8 lipca 2019 r., poz. 666) w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (dalej: Komunikat) wprowadził zmiany w zakresie ich rodzajów. Należy mieć na uwadze, iż przetwarzanie spełniające przynajmniej dwa z wymienionych w Komunikacie kryteriów będzie wymagać oceny skutków dla ochrony danych (tzw. DPIA). W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych, a im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.

Co się zmienia?

Wprowadzono zmiany w zakresie:

- profilowania osób bezrobotnych pod kątem dostępu do różnych form pomocy bez ich zgody przez urzędy pracy;

- nagrywania przebiegu interwencji przez funkcjonariuszy służby mundurowej przy użyciu kamer umieszczonych na mundurze, włączanych w czasie zauważenia czynu zabronionego;

- przetwarzania danych biometrycznych klientów lub pracowników w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu (np. wejścia do określonych obszarów, pomieszczeń lub uzyskania dostępu do określonego konta w systemie informatycznym w celu np. wykonania zlecenia transakcji w systemie teleinformatycznym lub wypłaty gotówki przy użyciu bankomatu itp.)

Dodano konieczność sporządzenia DPIA w zakresie:

- przetwarzania danych genetycznych przez laboratoria/firmy/szpitale oferujące diagnostykę genetyczną w zakresie diagnozy medycznej, testów DNA bądź badań medycznych;

- przetwarzania danych lokalizacyjnych (wliczając sieci komunikacyjne i usługi komunikacyjne, wskazujące geograficzną pozycję telekomunikacyjnych terminali urządzeń użytkownika publicznie dostępnej usługi telekomunikacyjnej) w zakresie:

a. urządzeń, aplikacji i platform wykorzystujących Internet rzeczy,

b. pracy w domu i pracy wykonywanej zdalnie,

c. przetwarzania danych lokalizacyjnych pracowników;

Należy pamiętać jednak, iż wykaz nie zwalnia administratora z obowiązku przeanalizowania wszelkich operacji przetwarzania danych w oparciu o pełną ocenę skutków dla ochrony danych na podstawie art. 35 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Pełna treść Komunikatu jest dostępna tutaj.