Podczas odbywającego się w Brukseli w dniach 25 i 26 września 2018 r. posiedzenia plenarnego Europejska Rada Ochrony Danych (EROD) wydała opinię na temat wykazów rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych, przyjętych przez organy nadzorcze państw członkowskich (opinia).

EROD wskazuje, że ze względu na potrzebę zapewniania harmonizacji rozwiązań, konieczne będzie dokonanie zmian w polskim wykazie rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych.

Przede wszystkim, w ocenie EROD, w treści wykazu należy wyraźnie zaznaczyć, że nie wskazuje on wszystkich rodzajów operacji przetwarzania, które wymagają oceny skutków dla ochrony danych, zatem nie jest katalogiem zamkniętym.

Ponadto, w celu zachowania transparentności, EROD poleca dodać wyjaśnienia odnośnie kryteriów, które zostały uwzględnione prze organ nadzorczy w trakcie tworzenia wykazu. W związku z tym należy uzupełnić wykaz o wskazanie, iż jest on oparty na wytycznych Grupy Roboczej art. 29 (WP248) oraz stanowi ich uzupełnienie.

Urząd Ochrony Danych Osobowych został również zobowiązany do uzupełnienia wykazu o następujące rodzaje operacji:

  • przetwarzanie danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej w połączeniu z co najmniej jednym innym kryterium (35 ust. 3 RODO);
  • przetwarzanie danych genetycznych w połączeniu z co najmniej jednym innym kryterium (35 ust. 3 RODO);
  • przetwarzanie danych o lokalizacji, w połączeniu z co najmniej jednym innym kryterium.

Urząd Ochrony Danych Osobowych jest zobowiązany do poprawienia polskiego wykazu w terminie dwóch tygodni od otrzymania opinii

Z treścią Opinii można zapoznać się na stronie https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-poland-sas-dpia-list_en

English