Wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony

WYKAZ RODZAJÓW OPERACJI PRZETWARZANIA DANYCH OSOBOWYCH WYMAGAJĄCYCH OCENY SKUTKÓW PRZETWARZANIA DLA ICH OCHRONY, NIEOBEJMUJĄCY CZYNNOŚCI PRZETWARZANIA ZWIĄZANYCH Z OFEROWANIEM TOWARÓW LUB USŁUG OSOBOM, KTÓRYCH DANE DOTYCZĄ, LUB Z MONITOROWANIEM ICH ZACHOWANIA W KILKU PAŃSTWACH CZŁONKOWSKICH UNII EUROPEJSKIEJ

Rodzaje/kryteria dla Przykłady Potencjalne obszary wystąpienia/

operacji przetwarzania, operacji/zakresu danych/okoliczności, istniejące obszary zastosowań

dla których wymagane w których może wystąpić wysokie

jest przeprowadzenie ryzyko naruszenia dla danego rodzaju

oceny operacji przetwarzania

1. Ewaluacja lub ocena, Profilowanie użytkowników Allegro Allegro, OLX, Facebook

w tym profilowanie i innych serwisów internetowych

i przewidywanie

w celach wysyłania reklam spersonalizowanych

(analiza

behawioralna)

w celach Profilowanie klientów banku pod Bank PKO BP w zakresie profilowania

wywołujących kątem dostępu do preferencyjnych ofert kredytowych klientów

negatywne skutki pomocy bez ich zgody

prawne, fizyczne,

finansowe lub inne Ocena zdolności kredytowej, przy Banki, firmy pożyczkowe

niedogodności dla użyciu algorytmów scoringowych i żądania ujawnienia upoważnione do udzielania kredytów,

osób fizycznych historii kredytowej firmy windykacyjne w procesie

Ocena wiarygodności, lojalności, Platformy e-commerce – oferowanie

aktywności, historii zakupów itp. zniżek i programów lojalnościowych związanych z historią zakupów

klientów w celu (rabaty, darmowa dostawa, punkty lojalnościowe

np. zaoferowania im ceny preferencyjnej programy partnerskie, promocje)

produktu, na podstawie tej

oceny, nazywana ogólnie

segmentacją klientów

Profilowanie (ocena osoby Ubezpieczyciele – np.

na podstawie przynależności do indywidualne oferty ubezpieczeń,

określonej grupy społecznej) zniżki dla pracowników

konkretnych firm, np. nauczycieli, lekarzy

2. Zautomatyzowane Systemy informatyczne wykorzystywane Firmy objęte RODO

podejmowanie do automatycznego przyznawania lub (system gromadzi informacje

decyzji wywołujących odrzucania wniosków nie tylko o klientach naruszających

skutki prawne,

finansowe lub Chatboty, Roboty rekrutacyjne, Programy wyposażone

podobne istotne umożliwiające podejmowanie decyzji nad w system sztucznej inteligencji

skutki każdym kandydatem oraz jego automatycznie podejmującej decyzje

życiorysem na platformie rekrutacyjnej,

w szczególności systemy pozwalające

na automatyczne odrzucenie kandydata

bez udziału człowieka

Systemy profilowania klientów pod Sklepy internetowe oferujące ceny

kątem zidentyfikowania potencjalnych dynamiczne dla poszczególnych

klientów, którzy mogą zrezygnować grup klientów obsługujące programy

ustalania cen dynamicznie w oparciu lojalnościowe (punkty)

o profil

Monitorowanie aktywności i lokalizacji Aplikacje mobilne zawierające

użytkowników (np. GPS, Wi-Fi) elementy profilowania użytkowników

3. Systematyczne Rozbudowane systemy monitoringu Urzędy miast,

monitorowanie na miejskiego umożliwiające obserwację i pozyskiwanie nagrań porty lotnicze, dworce kolejowe oraz

dużą skale miejsc wykraczających poza dane niezbędne inne miejsca wyznaczające strefy

dostępnych publicznie do świadczenia usług publicznych monitoringu publicznego

wykorzystujące Systemy monitorowania zachowań Biura (monitoring systemów

elementy pracowników oraz wykorzystywanych informatycznych).

rozpoznawania cech przez nich urządzeń (komputery, Monitoring pracowników

lub właściwości obiektów, które telefony) w zakresie monitorowania ich

znajdą się

w monitorowanej aktywności w sieci, używania służbowych

przestrzeni. telefonów, komputerów itp.

Do tej grupy Gromadzenie i wykorzystywanie Przetwarzanie danych

systemów nie są zaliczane systemy danych biometrycznych przez systemy instalowane pozyskiwanych przez kamery

monitoringu, w których w miejscach publicznych, w tym (rozpoznawanie twarzy, identyfikacja

monitoring jest nagrywany w urządzeniach zintegrowanych osób) oraz ich udostępnianie w sieci przy użyciu

i wykorzystywany z systemami alarmowymi, kasami lub w inny oprogramowania typu chmura czy

tylko w przypadku sposób połączonych z osobą Big Data

potrzeby udokumentowania zdarzenia lub wykrycia przestępstwa/wykroczenia (np. kradzieży, włamania, aktu wandalizmu) Kamery przez administratorów wyposażone w czujniki umieszczane na

budynków m.in. szkoły, szpitale parkingach, wykorzystywane

galerie handlowe, stadiony itp. np. w celu ochrony mienia

(zapobieganie kradzieżom) czy ochrony

bezpieczeństwa publicznego (zapobieganie

aktom terrorystycznym)

Systemy lokalizacji Systemy komunikujące się typu

pojazdów z nadajnikami GPS, pojazd – serwer, w których

w tym zintegrowane z systemami pojazd informuje serwer

o swoim położeniu (współrzędne GPS)

i w przypadku pojawiającego się

zagrożenia otrzymuje od tego

serwera (centrala alarmowa,

firma ochroniarska) sygnał

alarmowy

Systemy wykorzystujące dane biometryczne Skanery linii papilarnych

w przypadku, gdy dane biometryczne są lub stosowane w sprawie

mogą być przypisane konkretnej osobie kontroli dostępu (np. do budynków)

Dane dotyczące zdrowia Szpitale/Przychodnie prowadzące

pacjentów/lekarzy dokumentację medyczną

Aplikacje/Strony internetowe/Platformy

pobierające dane do

badań medycznych

4. Przetwarzanie Nagrywanie rozmów telefonicznych Rejestracja rozmów podczas konsultacji

szczególnych przez konsultantów medycznych, rozmów z infolinią

kategorii danych telefonicznych i innych instytucji publicznych

osobowych i dotyczących Rozmowy przy użyciu kamery

wrażliwych danych umieszczonej na laptopie, którą

osobowych pracownik włącza w czasie

(danych wrażliwych wg opinii GIODO) zauważenia/ujawnienia incydentu

Przetwarzanie danych Systemy bankowe;

medycznych lub genetycznych w celu systemy informatyczne do

diagnozy lub leczenia chorób diagnostyki medycznej;

w systemach szpitalnych, np. systemy rekrutacyjne

systemy do rejestracji pacjentów, firmy ubezpieczeniowe,

systemy do wystawiania recept lub uzyskania dostępu biura podróży;

do dokumentacji medycznej w szpitalu w celu np. przeprowadzenia systemy do zarządzania

operacji w nagłym wypadku lub wykrycia personelem, systemami bezpieczeństwa itp.

choroby przy użyciu badań genetycznych itp.

Przetwarzanie przez pracodawców Pracodawcy, firmy rekrutacyjne,

danych osobowych lub biometrycznych agencje pracy tymczasowej i firmy outsourcingowe,

danych dotyczących instytucje finansowe

orientacji seksualnej i/lub

pochodzenia etnicznego

Regularne przetwarzanie danych Biura rachunkowe;

biometrycznych firmy windykacyjne (monitoring zadłużenia,

(linie papilarne, windykacja należności)

twarz, głos) w systemach, w zakresie windykacji – zalecenie

bazach danych z okresu 5 lat w sprawie oceny ryzyka, nr 1/2020 zalecenia Komisji Nadzoru Finansowego

które dotyczą danych osobowych itp.) Dane biometryczne i inne dane wrażliwe Firmy ubezpieczeniowe;

oferowane klientom do systemy identyfikacji;

weryfikacji tożsamości obejmujących firmy współpracujące z instytucjami publicznymi

dane o charakterze poufnym typu ZUS wykorzystujące dane biometryczne;

lub wrażliwym (jak np. oprogramowanie dostarczane przez

dane biometryczne w systemach do firmy zewnętrzne

logowania, skanery tęczówki,

analiza głosu, czytniki linii papilarnych typu „skaner”, które

odciski palców typu „skaner”, które mogą zawierać dane o bardzo

wysokim stopniu poufności), których

przetwarzanie lub udostępnianie

do celów innych niż te, do których

zostały zebrane o charakterze marketingowym może być

uznane za bardzo ryzykowne

w kontekście RODO

5. Dane przetwarzane Centralne bazy danych Centralny system:

na dużą skalę, gdzie wspomagające zarządzanie danymi klientów – PESEL;

pojęcie dużej skali firmy w celach związanych – Rejestr Dowodów Osobistych w MSWiA;

dotyczy: • liczby osób, z realizacją zamówień, – obsługi klienta;

których dane są z których dane udostępniane są – CRM itp.

przetwarzane, w różnym zakresie w zależności od ich

• zakresu roli i uprawnień związanych z realizacją

przetwarzania, tych zamówień

• okresu przechowywania Zbieranie informacji w szerokim zakresie Portale społecznościowe, wyszukiwarki

danych oraz o użytkownikach internetowe, platformy handlowe

• geograficznego (wiek, płeć, lokalizacja sklepy internetowe

zakresu zainteresowania lub aktywność itp.) dostępne na całym świecie z dostępem

do milionów użytkowników

6. Przeprowadzanie Łączenie danych z różnych baz danych Firmy pobierające dane

porównań, ocena lub publicznych i/lub prywatnych z różnych źródeł, gdzie występują informacje

wnioskowanie na o klientach, w celach

podstawie informacji osobowych pozyskanych przeprowadzania analiz na

z różnych źródeł potrzeby marketingu behawioralnego

systemów scoringowych

Tworzenie profili klientów ze wszystkich Banki w celach

danych pochodzących z różnych źródeł doskonalenia i rozszerzania profili

(łączenie baz danych) klientów oraz

doskonalenia oferty

ukierunkowanej na konkretne grupy klientów;

firmy obsługujące programy lojalnościowe

(punkty)

Zbieranie informacji o aktywności Aplikacje mobilne, gry online

użytkowników, lokalizacji wyszukiwarki internetowe, portale społecznościowe

zakupach, a następnie ich agregacja i platformy e-commerce

w celu tworzenia spersonalizowanych reklam

7. Przetwarzanie Przetwarzanie danych, w których Firmy oferujące usługi, które

danych dotyczących dokonuje się oceny lub profilowania dokonują oceny zdolności kredytowej ofert do

osób, których status osób, których dane dotyczą, pod klientów

i świadczone im usługi są uzależnione względem np. wieku, płci, a następnie od oceny lub te dane wykorzystuje się do profilowania, które przedstawienia oferty lub innych dysponują działań, które mogą mieć wpływ na uprawnieniami i/lub prawa i wolności osób, których dane są środkami technicznymi przetwarzane Systemy służące do zgłaszania Systemy służące do zgłaszania

przestępstw (związanych incydentów bezpieczeństwa (np. wycieków danych) –

np. z kradzieżą, oszustwem) – w szczególności gdy dane osobowe są

w nim przetwarzane automatycznie

8. Szczególne Systemy monitoringu, Policja i służby specjalne

wykorzystanie lub które biorąc pod uwagę cel (ABW, CBA

zastosowanie i sposób zbierania danych SKW) wdrażający systemy

rozwiązań technologicznych lub umożliwiają profilowanie obywateli lub monitoringu

organizacyjnych

Systemy informatyczne i aplikacje Firmy przetwarzające

medyczne znajdujących się dane medyczne z urządzeń typu smartwatch,

w smartwatchach, np. pomiary tętna opatrzone np. opaski monitorujące

identyfikatorem użytkownika wyposażonych w czujniki

(tętno, ciśnienie)

Systemy stosowane do rozpoznawania Zastosowanie kamer między

i identyfikacji twarzy budynkami (monitoring –

przechodniów przy użyciu kamer np. wjazd na posesję, parking) w firmach

z algorytmami typu: ochroniarskich i w instytucjach

rozpoznawanie twarzy, identyfikacja, publicznych

analiza emocji itp. analizujące i interpretujące

mimikę twarzy przy użyciu sztucznej inteligencji

Stosowanie dronów wyposażonych Drony z kamerami

w różnego rodzaju czujniki (kamery, rejestrujące i analizujące obraz

czujniki termiczne, sensory ruchu) oraz umożliwiającym identyfikację osób

oprogramowanie i algorytmy z dużej odległości oraz zdalnie

umożliwiające analizę danych poprzez internet

zbieranych poprzez drony

Aplikacje i systemy dedykowane badaniom Firmy farmaceutyczne

medycznym z danymi prowadzące badania kliniczne

pacjentów spoza Unii Europejskiej, przekazywanie danych Szpitale, firmy medyczne o zasięgu

medycznych o zasięgu międzynarodowym

globalnym

9. Gdy przetwarzanie Uzależnianie udzielenia kredytu dla Banki udzielające kredytów

samo w sobie klienta na podstawie i pożyczek oraz oferujące usługi finansowe

uniemożliwia informacji zawartych w bazach danych klientom

osobom, których dane dotyczą, zawierających informacje o historii kredytowej lub zdolności wykonania prawa kredytowej lub skorzystania Uzależnianie możliwości skorzystania Firmy ubezpieczeniowe oraz platformy

z usługi lub świadczenia z usługi ubezpieczeniowej od oceny w zakresie ubezpieczeniowe typu porównywarki, multiagencje, itp.

wieku, płci, stanu zdrowia

zdrowotnego i innych danych

zebranych w wyniku ankiety