GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Hiszpański organ wydał wytyczne w sprawie obowiązku przeprowadzenia DPIA.

Hiszpański organ wydał wytyczne w sprawie obowiązku przeprowadzenia DPIA.

Po otrzymaniu pozytywnej opinii Europejskiej Rady Ochrony Danych, 6 maja hiszpańska Agencja Ochrony Danych („AEPD”) opublikowała listę operacji przetwarzania, dla których konieczne jest przeprowadzenie oceny skutków przetwarzania danych osobowych (DPIA).

Zgodnie z art. 35 Ogólnego Rozporządzenia o Ochronie Danych (RODO), administratorzy danych są zobowiązani do przeprowadzenia oceny skutków przetwarzania danych osobowych przed wdrożeniem takich czynności przetwarzania w swojej organizacji. Administratorzy są do tego szczególnie zobowiązani, gdy biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania danych, może to spowodować wysokie ryzyko dla praw i wolności osób fizycznych. Co więcej, mając na uwadze art. 35 ust. 1 zdanie pierwsze, ryzyko będzie wzrastać, gdy przetwarzanie zostanie przeprowadzone przy użyciu „nowych technologii”.

Mimo że RODO ustanawia kryteria, które pomagają zidentyfikować te operacje przetwarzania, które wiążą się z wysokim ryzykiem, krajowe organy nadzoru obowiązane są ustanawiać i upubliczniać wykazy rodzajów operacji przetwarzania, które podlegają wymogowi oceny skutków przetwarzania danych. W tym kontekście AEPD opublikował listę operacji przetwarzania, które w większości przypadków spełniają dwie lub więcej przesłanek wymienionych w art. 35 RODO.

Z powyższego można wywnioskować, że im więcej kryteriów spełniła analizowana czynność przetwarzania, tym większe ryzyko i potrzeba przeprowadzenia DPIA.

  1. Profilowanie lub ocena osób fizycznych, w tym zbieranie danych z wielu obszarów życia osoby, której dane dotyczą (wydajność pracy, osobowość i zachowanie), obejmujące różne aspekty jego osobowości lub nawyków.
  2. Automatyczne podejmowanie decyzji lub przetwarzanie, które w znacznym stopniu przyczynia się do podejmowania takich decyzji, w tym wszelkiego rodzaju decyzje uniemożliwiające osobom, których dane dotyczą, korzystanie z prawa lub dostępu do towaru lub usługi lub bycia częścią umowy.
  3. Wykorzystanie danych na dużą skalę. Przy ustalaniu, czy przetwarzanie można uznać na dużą skalę, należy uwzględnić kryteria określone w przewodniku Grupy Roboczej art. 29 „Wytyczne w sprawie inspektorów ochrony danych”.
  4. Systematyczne i gruntowne obserwowanie, monitorowanie, nadzór, śledzenie geolokalizacji lub kontrola osoby, której dane dotyczą, w tym gromadzenie danych i metadanych za pośrednictwem sieci, aplikacji lub w publicznie dostępnych obszarach, a także przetwarzanie unikalnych identyfikatorów, które umożliwiają identyfikację użytkowników usług społecznych, takich jak usługi internetowe, telewizja interaktywna, aplikacje mobilne itp.
  5. Wykorzystanie danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej.
  6. Przetwarzanie specjalnych kategorii danych, o których mowa w art. 9 ust. 1 RODO, danych dotyczących wyroków skazujących lub przestępstw, o których mowa w art. 10 RODO lub danych, które umożliwiają określenie sytuacji finansowej lub zdolności kredytowej.
  7. Wykorzystanie danych genetycznych w dowolnym celu.
  8. Powiązanie lub połączenie rekordów bazy danych z dwóch lub więcej operacji przetwarzania dla różnych celów lub przez różnych administratorów danych.
  9. Przetwarzanie danych dotyczących osób wymagających szczególnej troski lub osób zagrożonych wykluczeniem społecznym, w tym dzieci poniżej 14 roku życia, osób starszych z pewnym stopniem niepełnosprawności, niepełnosprawnych, osób korzystających z usług społecznych i ofiar przemocy ze względu na płeć, a także ich potomków i osoby pod ich opieką.
  10. Wykorzystanie nowych technologii lub innowacyjne wykorzystanie ustalonych technologii, w tym wykorzystanie technologii w nowej skali, z nowym celem lub w połączeniu z innymi w taki sposób, aby objąć nowe formy gromadzenia i wykorzystywania danych z ryzykiem dla prawa i wolności osób fizycznych.
  11. Przetwarzanie danych uniemożliwiających osobom, których dane dotyczą, korzystanie z ich praw, korzystanie z usługi lub wykonywanie umowy, takich jak przetwarzanie, w którym dane zostały zebrane przez administratora danych innego niż ten, który zamierza je przetworzyć i stosuje jeden z wyjątków dotyczących informacji, które należy dostarczyć osobom, których dane dotyczą, zgodnie z art. 14 ust. 5 lit. b, c, d RODO.

Źródło: https://www.twobirds.com/en/news/articles/2019/spain/spanish-data-protection-agency-publishes-list-of-processing-operations

 

Udostępnj publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach