Kiedy wymagane jest przeprowadzenie oceny skutków dla ochrony danych osobowych?

Wspomniany obowiązek dotyczy tylko niektórych operacji przetwarzania – takich, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Administrator danych osobowych musi więc wstępnie ocenić, czy dany rodzaj przetwarzania pociąga za sobą takie ryzyko. Art. 35 ust. 3 RODO podaje przykłady takich sytuacji, jednak PUODO przypomina, że nie jest to katalog zamknięty.

Wykaz rodzajów operacji przetwarzania wymagających oceny skutków znajduje się w załączniku do komunikatu PUODO

Ważnym dokumentem dla administratora danych osobowych jest również załącznik do komunikatu PUODO z 17 czerwca 2019 r. Zawiera on 12 rodzajów operacji przetwarzania, które mogą generować wysokie ryzyko naruszenia praw lub wolności. Tymi kryteriami/operacjami przetwarzania są:

1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych;
2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki;
3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni. Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa;
4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych według opinii WP 29);
5. Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu;
6. Przetwarzanie danych genetycznych;
7. Dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy:
   • liczby osób, których dane są przetwarzane,
   • zakresu przetwarzania,
   • okresu przechowywania danych oraz
   • geograficznego zakresu przetwarzania

8. Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł;
9. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi lub ocennymi;
10. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych;
11. Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy;
12. Przetwarzanie danych lokalizacyjnych.

W przypadku spełnienia co najmniej 2 z tych kryteriów administrator co do zasady musi przeprowadzić ocenę skutków, choć w pewnych sytuacjach już spełnienie 1 z kryteriów okaże się wystarczające. Zgodnie z zaleceniami EROD w razie jakichkolwiek wątpliwości co do konieczności przeprowadzenia takiej oceny ryzyka administrator powinien ją wykonać.

Ciekawym zagadnieniem jest poruszone przez PUODO zagadnienie - systemy AI a ocena skutków dla ochrony danych osobowych

Przetwarzanie danych osobowych może występować na różnych etapach rozwoju systemu AI – od fazy projektowania i trenowania modeli, po wdrożenie i bieżące użytkowanie. Przykład stanowi stanowisko Europejskiej Rady Ochrony Danych (EROD), która odpowiadając na pytanie o anonimowość modeli AI uczonych na danych osobowych, wskazała, że nawet jeśli model nie został zaprojektowany do odtwarzania danych osobowych, to wciąż może zawierać dane pozwalające na identyfikację osób fizycznych. W takiej sytuacji nie może być uznany za anonimowy.

Ocena skutków dla ochrony danych – kiedy jest konieczna?

Zgodnie z art. 35 RODO, przeprowadzenie DPIA jest wymagane w sytuacjach, gdy planowane operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw i wolności osób. Ma to szczególne znaczenie w przypadku systemów AI, których zastosowania często obejmują:

• ocenę i profilowanie osób fizycznych,
• zautomatyzowane podejmowanie decyzji,
• przetwarzanie danych wrażliwych,
• przetwarzanie danych na dużą skalę.

Warto odwołać się także do wykazu kryteriów Prezesa UODO, który stanowi praktyczny punkt odniesienia przy ocenie ryzyka. W kontekście AI szczególną uwagę warto zwrócić na przetwarzanie:

• danych biometrycznych i genetycznych,
• danych dotyczących wyroków skazujących,
• danych behawioralnych,
• danych pochodzących z różnych źródeł,
• informacji wykorzystywanych do oceny lub przewidywania zachowań,
• w sposób uniemożliwiający osobom korzystanie z praw lub usług.

Aby lepiej zrozumieć praktyczne znaczenie DPIA, warto przytoczyć kilka przykładów:

• Systemy oceny zdolności kredytowej oparte na AI wymagają DPIA z uwagi na przetwarzanie danych wrażliwych i możliwość podejmowania decyzji o poważnych skutkach prawnych i finansowych.
• Profilowanie klientów przez firmy przewozowe i ustalanie dynamicznych cen na podstawie zachowań użytkowników również wymaga DPIA, gdyż może prowadzić do nierównego traktowania klientów.
• Monitoring drogowy z funkcją automatycznego rozpoznawania tablic rejestracyjnych wymaga DPIA ze względu na systematyczne monitorowanie w przestrzeni publicznej.
• Szpital wdrażający AI do diagnostyki obrazowej musi ocenić ryzyko, gdyż przetwarzane są dane medyczne, a technologia ma bezpośredni wpływ na zdrowie pacjentów.

AI wysokiego ryzyka – szczególne obowiązki

Systemy AI zakwalifikowane jako wysokiego ryzyka zgodnie z AI Act z dużym prawdopodobieństwem będą wymagały przeprowadzenia DPIA. W takich przypadkach użytkownik systemu powinien również uwzględnić informacje przekazane przez jego dostawcę, zgodnie z art. 13 AI Act.

PUODO podkreśla, że administratorzy danych powinni na bieżąco śledzić nowe wytyczne oraz interpretacje publikowane przez organy nadzorcze, w szczególności przez Europejską Radę Ochrony Danych (EROD), aby właściwie dostosowywać swoje działania do aktualnych przepisów. EROD podejmuje działania mające na celu zapewnienie spójnego stosowania przepisów RODO oraz Aktu w sprawie sztucznej inteligencji (AI Act), w tym w zakresie obowiązku przeprowadzania oceny skutków dla ochrony danych.

Źródło: https://uodo.gov.pl/pl/598/3617

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl

• Doradztwo w zakresie ochrony danych osobowych 
• Outsourcing Inspektora Ochrony Danych / IOD
• Audyt i wdrożenie NIS2 I KSC
• Doradztwo w zakresie sztucznej inteligencji/AI