RODO: Ocena skutków dla ochrony danych
Norma prawna dla ochrony danych
W ostatnim czasie został wydany bardzo ważny dokument dotyczący oceny skutków dla ochrony danych, który ma rangę prawną. Dotyczy to branży interaktywnej szczególnie tam gdzie dochodzi do przetwarzania danych które mogą mieć charakter danych osobowych. Główne dotyczy to odpowiedzi kiedy agencja interaktywna i jej klienci oraz firmy współpracujące powinny przygotować ocenę skutków (działań) w zakresie ochrony danych
UODO opublikował wykaz rodzajów operacji wymagających oceny skutków dla ochrony danych w komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony opublikowany w dniu 2018-08-24 w Monitorze Polskim pod pozycją 827.
Wykaz operacji
Z tego dokumentu wynika zalecenie kiedy branża interaktywna powinna zwrócić uwagę na przetwarzanie danych:
- Profilowanie użytkowników portali społecznościowych i innych aplikacji w celach wysyłania niezamówionej informacji handlowej (spamu)
- Profilowanie pośrednie (ocena osoby na podstawie przynależności do określonej grupy)
- Systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, automatycznego ustalania cen promocyjnych w oparciu o profil
- Monitorowanie zakupów i preferencji zakupowych (np. alkohol, słodycze) Programy marketingowe zawierające elementy profilowania osób
- Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych
- Zbieranie danych w szerokim zakresie o przeglądanych stronach internetowych, realizowanych zakupach, oglądanych programach telewizyjnych
- Łączenie danych z różnych rejestrów państwowych i/lub publicznych. Firmy marketingowe pobierające dane z różnych źródeł, gdzie występują dane
osobowe o klientach, w celach przeprowadzania ukierunkowanych na określone grupy klientów akcji marketingowych. - Tworzenie profili osób ze zbiorów danych pochodzących z różnych źródeł (łączenie zbiorów). Firmy marketingowe w celach doskonalenia i rozszerzania profili potencjalnych klientów oraz doskonalenia usług reklamy ukierunkowanej na określone grupy społeczne.
- Zbieranie danych o przeglądanych stronach, wykonywanych operacjach bankowych, zakupach w sklepach internetowych, a następnie ich analiza w celu tworzenia profilu osoby. Portale społecznościowe, sieci handlowe, firmy marketingowe, banki i instytucje finansowe.
Konkluzja z tego płynie, że każda firma która korzysta z usług firm marketingowych powinna przygotować ocenę działań w zakresie ochrony danych.
Dokonywanie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA) jest nowym obowiązkiem, który ciąży na administratorze. Oceny skutków dokonujemy w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
W praktyce oznacza też, że administratorzy danych osobowych w firmach interaktywnych i marketingowych mogą powoływać inspektorów danych osobowych w celu opracowania procedur związanych z przetwarzaniem takich danych. Do dalszej pracy nad oceną zaleca się przestudiowanie Wytyczne dotyczące oceny skutków dla ochrony danych