Przejdź do treści głównej

Kiedy należy dokonać oceny skutków dla ochrony danych?

Odpowiedź

Ocena skutków dla ochrony danych jest wymagana w każdym przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena skutków jest niezbędna przynajmniej w poniższych sytuacjach:

  • dokonywanie systematycznej, kompleksowej oceny czynników osobowych osób fizycznych, między innymi na podstawie profilowania,
  • przetwarzanie danych wrażliwych na dużą skalę,
  • systematyczne monitorowanie na dużą skalę miejsc publicznie dostępnych.

Krajowe organy ochrony danych, wspólnie z Europejską Radą Ochrony Danych, mogą udostępnić listę przypadków, w których wymagane będzie dokonywanie oceny skutków dla ochrony danych. Ocena skutków powinna być przeprowadzana przed rozpoczęciem operacji przetwarzania i powinna być traktowana nie jako jednorazowe badanie, ale jako rozwijające się narzędzie. W przypadku szczątkowego ryzyka, któremu nie można zapobiec za pomocą wdrożonych środków, należy skonsultować sprawę z OOD jeszcze przed rozpoczęciem przetwarzania.

Przykłady

Ocena skutków dla ochrony danych jest wymagana
Bank sprawdza klientów w bazie informacji kredytowej; szpital, który ma zamiar wdrożyć nową bazę danych pacjentów zawierającą dane dotyczące stanu zdrowia; przewoźnik autobusowy ma zamiar zainstalować system kamer w celu monitorowania zachowań kierowcy oraz pasażerów.

Ocena skutków dla ochrony danych nie jest wymagana
Lokalny lekarz przetwarza dane osobowe swoich pacjentów. W tym przypadku nie ma wymogu dokonywania oceny skutków dla ochrony danych, gdyż przetwarzanie danych przez lokalnych lekarzy odbywa się na małą skalę, w odniesieniu do ograniczonej liczby pacjentów.

Odnośniki

Examples

DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.

DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.