arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
07.09.2020

Ryzyko związane z operacjami przetwarzania danych osobowych

Dariusz Chmielewski

W sytuacji gdy proces przetwarzania danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie RODO nakłada na administratora obowiązek oceny skutków przetwarzania dla ochrony danych. Zgodnie z artykułem 35 rozporządzenia, ocena skutków powinna być przeprowadzona gdy: proces przetwarzania jest podstawą decyzji wywołujących skutki prawne wobec osób fizycznych, przetwarzane na dużą skalę są szczególne kategorie danych osobowych dotyczących wyroków skazujących lub naruszeń prawa a także wtedy gdy w sposób systematyczny i na dużą skalę monitorowane są miejsca dostępne publicznie.

Ponadto w Polsce prawo do ustalenia wykazu rodzaju operacji wymagających oceny skutków ma Urząd Ochrony Danych Osobowych. Według urzędu szczególne ryzyko pojawia się wtedy, gdy dokonywana jest ocena danych lub ich profilowanie mogące wywoływać negatywne skutki prawne dla osób, których dane dotyczą. Chodzi na przykład o ocenę zdolności kredytowej przy użyciu algorytmów sztucznej inteligencji albo ocenę stylu życia, odżywiania się, jazdy lub sposobu spędzania czasu, która może prowadzić do podwyższenia składki ubezpieczeniowej. Za ryzykowne UODO uważa również wszelkie systemy profilowania klientów, które mogą prowadzić do automatycznego ustalania cen promocyjnych w oparciu o profil. Ewaluacji powinno podlegać również ryzyko związane z systemami monitorowania czasu pracy pracowników a także monitoring wykorzystywanych przez nich narzędzi pracy takich jak poczta elektroniczna, dostęp do internetu czy lokalizacja pojazdów służbowych.

Za ryzykowne jest uznane przetwarzanie danych osobowych dotyczących preferencji wyborczych oraz przynależności partyjnej. Inna kategoria, na jaką należy zwrócić uwagę to serwisy internetowe i aplikacje gromadzące i przetwarzające dane o charakterze osobistym. Są to między innymi usługi polegające na gromadzeniu danych w chmurze. Osobną kategorią są dane genetyczne i zdrowotne. Ujawnienie ich może być szkodliwe dla osoby, której dane dotyczą. Oznacza to, że ich gromadzenie i przetwarzanie jest ryzykowne z punktu widzenia administratora. Ocenę ryzyka należy przeprowadzić również wtedy, gdy dane mają służyć do klasyfikacji i oceny osób starających się o uzyskanie zatrudnienia. Podobnie jest w przypadku gdy gromadzone są dane dotyczące karalności.

Ani powyższe przykłady, ani pełna lista opublikowana w Monitorze Polskim przez UODO nie wyczerpują zagadnienia. Administrator jest zobowiązany przez rozporządzenie RODO do dokonania samodzielnej analizy ryzyk związanych z poszczególnymi operacjami przetwarzania danych. Administrator powinien rozumieć, że ryzyko jest szczególnie duże, gdy operację przetwarzania prowadzą do skutków prawnych takich jak zawarcie lub rozwiązanie umowy czy ustalenie jej warunków.

Należy wyraźnie podkreślić, że operacje związane z profilowaniem danych prowadzącym do powstania skutków prawnych nie są zabronione. Jednak administrator może być zobowiązany do uzyskania zgody, ponadto osoby, których dane dotyczą, posiadają pełnię praw związanych z przepisami RODO, czyli prawo dostępu do danych, prawo do ich sprostowania lub usunięcia, prawo do ograniczenia przetwarzania i ich przenoszenia. Administrator ma obowiązek prowadzenia rejestru czynności przetwarzania, współpracy z organem nadzorczym a także zapewnienia bezpieczeństwa przechowywanych i przetwarzanych danych osobowych. Ponadto podstawowym obowiązkiem administratora jest zgłaszanie naruszeń do organu nadzorczego oraz zawiadomienie o nich osób, których dane dotyczą.