Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. obowiązkiem Prezesa Urzędu Ochrony Danych Osobowych jest ustanowienie oraz podanie do wiadomości publicznej wykazu rodzajów operacji przetwarzania danych, które podlegają wymogowi dokonania oceny skutków dla ochrony danych.
Najnowszy wykaz obejmuje dwanaście kategorii rodzajów operacji przetwarzania wymagających przeprowadzenia DPIA i zawiera przykłady operacji, w jakich zachodzić może wysokie ryzyko naruszenia praw oraz wolności dla wskazanego rodzaju przetwarzania, jak też przykłady obszarów, które owe operacje obejmują. Wykaz został zaktualizowany pod względem opinii, jaką wydała Europejska Rada Ochrony Danych. Zawiera także czynności, które wiążą się z oferowaniem towarów albo usług osobom, których dane dotyczą.
Jednocześnie należy podkreślić, iż istnienie wykazu nie zwalnia administratora danych osobowych z obowiązku poddania analizie wszystkich operacji, wiążących się z przetwarzaniem danych.
Jakiego rodzaju dane wymagają oceny skutków dla ochrony danych?
Jako wyjściową zasadę można przyjąć, że jeżeli dany rodzaj przetwarzania spełnia co najmniej dwa kryteria wskazane w wykazie PUODO, to przetwarzanie danych będzie wymagało oceny skutków dla ochrony danych. W pewnych przypadkach, administrator danych może uznać, iż przetwarzanie, które spełnia tylko jedno z nich również wymaga przeprowadzenia takiej oceny. Im więcej kryteriów spełnia dane przetwarzanie, tym wzrasta prawdopodobieństwo zaistnienia wysokiego ryzyka naruszenia zasad przetwarzania, a w efekcie wymagane jest przeprowadzenie oceny skutków dla ochrony danych.
Ocena skutków dla ochrony danych może być wymagana, jeżeli jednym z rodzajów operacji przetwarzania jest ewaluacja lub ocena, w tym profilowanie oraz przewidywanie. W przypadku tych operacji mają one dodatkowo być przeprowadzane takich celach, które wywołują negatywne skutki prawne, fizyczne czy finansowe. Do potencjalnych obszarów, w których mogą wystąpić takie operacje należą media społecznościowe oraz działalność firm marketingowych i headhunterskich, gdzie prowadzone jest profilowanie użytkowników celem wysyłania informacji handlowych. Kolejnym obszarem jest działalność banków oraz innych instytucji finansowych, w których dokonywana jest ocena zdolności kredytowej, a także firm ubezpieczeniowych, na przykład podczas dokonywania oceny stylu życia czy prowadzenia samochodu przez osoby fizyczne celem optymalizacji składki ubezpieczeniowej.
Zautomatyzowane podejmowanie decyzji także powinno podlegać ocenie skutków dla ochrony danych, jeżeli wywołuje skutki prawne, finansowe, lub im podobne istotne skutki. Obszarami występowania takich operacji są drogi, które objęte zostały odcinkowym pomiarem prędkości, na których funkcjonują systemy monitoringu do zarządzania ruchem, umożliwiające nadzór nad osobami prowadzącymi pojazdy, także wówczas, gdy użytkownicy dróg nie naruszają przepisów. Takie operacje mają miejsce także w sklepach internetowych, stosujących systemy profilowania klientów w celach promocyjnych, występują również w programach marketingowych zawierających elementy profilowania osób – na przykład w zakresie monitorowania preferencji zakupowych.
Systematyczny monitoring miejsc publicznie dostępnych na dużą skalę także powinien podlegać ocenie skutków dla ochrony danych tym bardziej, gdy wykorzystuje elementy rozpoznawania cech lub właściwości obiektów, jak środki miejskiej komunikacji, czy systemy wypożyczania rowerów. Są to również zakłady pracy, gdzie zastosowanie znajdują systemy monitorowania czasu pracy, a także systematycznie monitoruje się przepływ informacji z wykorzystaniem poczty email lub Internetu. Ponadto, w zakresie takiego monitorowania znajduje się przetwarzanie informacji dostarczanych za sprawą Internetu rzeczy (np. gromadzenie danych przez aplikacje zainstalowane na opaskach), systemów monitoringu pojazdów, które nawiązują połączenie z otoczeniem tego pojazdu, jak np. z innymi pojazdami. Należą do nich również wszelkie systematycznie monitorowane dane, dotyczące zdrowia osób, pochodzące ze szpitali, organizacji i innych podmiotów, które prowadzą badania kliniczne bądź pobierają do badań materiał genetyczny.
Ochrona skutków dla ochrony danych realizowana jest także odnośnie przetwarzania danych osobowych, które dotyczą wyroków skazujących czy innych czynów zabronionych oraz danych wrażliwych (np. dotyczących przynależności do partii politycznych, przekonań religijnych, stanu zdrowia). Do przykładów można zaliczyć przetwarzanie podczas kampanii wyborczych danych dotyczących przynależności partyjnej lub preferencji wyborców. Dodatkowo, wymaga tego przetwarzanie danych w inteligentnych systemach pomiarowych przez operatorów telekomunikacyjnych czy dostawców energii, które umożliwia na przykład obserwacje stylu życia czy korzystania z mediów, bądź komunikacji elektronicznej. Do przykładów zaliczyć należy także przetwarzanie w ramach usług poczty elektronicznej, czy systemów monitorujących, które współpracują z opaskami fitness i wykorzystują chmurę obliczeniową oraz aplikacje, służące do zakupu książek i gazet elektronicznych – jako że mogą one słuzyć do przetwarzania wielu osobistych informacji.
Także przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, jak systemy rozpoznawania twarzy, odcisków palców, rozpoznania głosu celem identyfikacji osób, jakie znajdują się na przykład przy wejściach do pewnych obiektów czy pomieszczeń, ale również wykorzystywane celem uzyskania dostępu do kont w systemie informatycznym podlegają konieczności oceny skutków dla ochrony danych.
Pod obowiązek przeprowadzenia DPIA podchodzi również przetwarzanie danych na dużą skalę (biorąc pod uwagę liczbę osób, zakres przetwarzania, okres i geograficzny zasięg przetwarzania), mające miejsce w centralnych systemach informacji oświatowej, informacji o szkolnictwie wyższym, obsługi ubezpieczeń komunikacyjnych, czy systemie kwalifikacji zawodowych. Takie przetwarzanie zachodzi też na portalach społecznościowych czy przeglądarkach internetowych, bądź serwisach oferujących abonamenty do oglądania programów w Internecie.
Ocena skutków dla ochrony danych powinna być też przeprowadzona dla przetwarzania prowadzonego celem porównań, oceny lub wnioskowania dokonywanego w oparciu o dane pochodzące z różnych źródeł, jakiego dokonują zazwyczaj firmy marketingowe celem np. ukierunkowania akcji na daną grupę klientów, czy łączenia danych z różnych źródeł w celu tworzenia profili klientów.
Przeprowadzenie DPIA jest też wymagane, jeżeli wśród analizowanych kryteriów przetwarzania znajdują się procesy obejmujące dane genetyczne, co występuje np. w jednostkach medycznych, które w pakiecie świadczonych usług mają diagnostykę genetyczną (np. testy DNA).
Kolejnym kryterium do wzięcia pod uwagę podczas oceny obowiązku przeprowadzenia oceny skutków jest przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi zależna jest od innych podmiotów – takich, które dysponują uprawnieniami nadzorczymi lub ocennymi. Ma to miejsce np. w serwisach zatrudnieniowych, które dokonują oceny i dopasowania odpowiedzi na oferty o pracę do określonych oczekiwań pracodawców czy w firmach, które wprowadziły tak zwany whistleblowing (system do sygnalizowania naruszeń, zwłaszcza przez pracowników).
Ta procedura powinna być także zastosowana w przypadku wszelkich innowacji dotyczących wykorzystania albo zastosowania technologicznych lub organizacyjnych rozwiązań, jak aplikacje wyposażone w systemy komunikowania się oraz interaktywne zabawki oraz konsultacje telemedyczne.
Zasadnym jest także objęcie oceną skutków działań związanych z przetwarzaniem danych lokalizacyjnych, które umożliwia śledzenie miejsc pobytu osób, również w odniesieniu do lokalizacji pracowników.
