Ocena skutków dla ochrony danych

Kto ma obowiązek oceny skutków dla ochrony danych?

RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.

Nowa, przyjęta w ogólnym rozporządzeniu o ochronie danych (RODO), filozofia ochrony danych osobowych zakłada odejście od konieczności zgłaszania oraz rejestracji zbiorów (po 24 maja 2018 r. zbiory danych osobowych nie będą podlegały rejestracji, zaś rejestr zbiorów danych zostanie zlikwidowany). Zastępuje ją natomiast obowiązkiem przeprowadzenia tzw. oceny skutków dla ochrony danych. Nowe przepisy nie wymagają zatem zgłaszania zbiorów danych osobowych do organu nadzorczego w celu rejestracji, co jest dużym ułatwieniem dla podmiotów przetwarzających dane. Wymóg ten został zaś zastąpiony obowiązkiem przeprowadzenia oceny skutków dla ochrony danych.

Ocena ta powinna obejmować przede wszystkim planowane operacje i cele przetwarzania, zabezpieczenia i mechanizmy mające minimalizować ryzyko. Ten istotny dla rozliczalności proces ma prowadzić do opisania (dokumentacji) przetwarzania danych, oceny jego niezbędności i proporcjonalności, a także pomóc we właściwym zarządzaniu (przeciwdziałaniu) ryzykami wynikającymi z przetwarzania danych. 

Ryzyko jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa wystąpienia. Zarządzanie ryzykiem można zaś określić jako działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod kątem ryzyka.

Ocena skutków musi być realną oceną ryzyk, umożliwiającą administratorom podejmowanie działań mających na celu ich rozwiązanie. Ogólne rozporządzeniezapewnia administratorom danych elastyczność w wykorzystaniu różnych narzędzi służących do przeprowadzenia takiej oceny.

Przeprowadzenie takiej oceny będzie wymagane, jeżeli operacje przetwarzania danych mogą powodować wysokie ryzyko naruszenia prywatności osób, których dane dotyczą (tj. wysokie ryzyko naruszenia praw lub wolności osób fizycznych), np. w sytuacji:

  • gdy działania na danych dokonywane są przy użyciu nowych technologii,
  • użycia zautomatyzowanych procesów przetwarzania danych, w tym profilowania,
  • przetwarzania na dużą skalę szczególnych kategorii danych (danych wrażliwych, takich jak dane biometryczne lub dane na temat stanu zdrowia).

Jeśli administrator danych nie może w wystarczającym stopniu zniwelować zidentyfikowanego ryzyka (znaleźć wystarczających środków) bądź mimo zastosowania środków, ryzyko nadal jest wysokie, to konieczna będzie konsultacja z PUODO. Jest więc oczywiste, że tego typu ocena musi pojawić się na etapie projektowania – jej wynik prowadzi bowiem do decyzji, czy przetwarzanie danych w zakładany sposób wymagać będzie uprzedniej konsultacji z PUODO.

Pamiętać jednak należy, że ocena skutków jest procesem ciągłym, wymagającym aktualizacji. 

Nawet jeżeli z oceny ryzyka nie wynika obowiązek przeprowadzenia oceny skutków dla ochrony danych, nie zmniejsza to obowiązku wdrożenia przez administratorów środków, które umożliwią odpowiednie zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych. W praktyce oznacza to, że administratorzy muszą stale oceniać ryzyko powodowane przez czynności przetwarzania, w celu określenia, kiedy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zwłaszcza jeśli zmieniają się cele przetwarzania, zakres albo wykorzystane rozwiązania technologiczne. Administratorzy danych powinni traktować przeprowadzenie oceny skutków dla ochrony danych jako przydatne i pozytywne działanie, które przyczynia się do zachowania zgodności z prawem.

Rozporządzenie przewiduje  też, iż w określonych przypadkach konieczne może być konsultowanie zamiaru przetwarzania danych osobowych z osobami, których dane dotyczą lub ich przedstawicielami – np. poprzez formalne pytanie do przedstawicieli pracowników, czy też badanie przesłane klientom.

Generalny Inspektor Ochrony Danych Osobowych przygotował i przedstawił propozycję wykazu rodzajów przetwarzania, dla których – zgodnie z art. 35 ust. 4 RODO – wymagane jest przeprowadzenie oceny skutków dla ochrony danych. Zapewnił tym samym administratorom i podmiotom przetwarzającym lepsze przygotowanie się do stosowania RODO. Wykaz powinien pomóc administratorom w podjęciu decyzji dotyczących przeprowadzenia oceny skutków. GIODO, opracowując ten dokument, uwzględnił Wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 – WP 248 rev.01 oraz swoje dotychczasowe ponad dwudziestoletnie doświadczenia wynikające z prowadzanych kontroli oraz postępowań.

Ponieważ art. 35 ust. 5 RODO daje organowi nadzorczemu możliwość ustanowienia i podania do publicznej wiadomości wykazów rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych, GIODO rozważa przygotowanie również takiej listy. W opinii organu ochrony danych, taki dokument może być bowiem pomocny administratorom i podmiotom przetwarzającym w podjęciu decyzji co do konieczności dokonywania oceny skutków dla ochrony danych. Zaproponowanie listy takich operacji planowane jest nie później niż 25 maja 2018 r.

Kiedy przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe?

Jak wspomniano, o ile operacja przetwarzania nie stanowi wyjątku, ocenę skutków dla ochrony danych należy przeprowadzić wówczas, gdy operacja przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Zgodnie z art. 35 ust. 5 i 10 Rozporządzenia, z wyjątkiem mamy do czynienia, gdy spełniony jest jeden z warunków:

  • organ nadzorczy ustanowił i podał do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych;
  • przetwarzanie ma podstawę prawną w prawie Unii lub państwa członkowskiego i prawo takie reguluje daną operację przetwarzania (lub zestaw operacji), a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji przed przyjęciem tej podstawy prawnej).

W przepisach RODO wskazano 3 przypadki, gdy przeprowadzenie oceny z pewnością będzie wymagane – operacja przetwarzania może powodować wysokie ryzyko w szczególności w przypadku:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej bądź w podobny sposób znacząco wpływających na osobę fizyczną; 
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub; 
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Tak więc np. stosowanie monitoringu miejsc publicznie dostępnych powoduje, że przeprowadzenie oceny skutków dla ochronydanych staje się obowiązkowe. Podobnie w przypadku stosowania profilowania. Duża skala powinna być natomiast rozumiana w sposób podobny do przypadków obowiązkowego powołania IOD.

Przy określaniu operacji przetwarzania, które mogą powodować wysokie ryzyko, należy wziąć pod uwagę 9 kryteriów:

  • ocena lub punktacja, w tym profilowanie i prognozowanie, w szczególności w zakresie efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą.

Przykład:

Instytucja finansowa sprawdza swoich klientów w bazie danych kredytowych; przedsiębiorstwo biotechnologiczne bezpośrednio oferuje klientom badania genetyczne w celu oceny i prognozowania ryzyka wystąpienia choroby lub zagrożeń dla zdrowia; organizacja tworzy profile zachowań lub profile marketingowe w oparciu o nawigację na swojej stronie internetowej. Przedsiębiorca świadczący swoim klientom usługi profilowania klientów w sklepach internetowych lub na portalach internetowych.

  • automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku: przetwarzanie mające na celu podjęcie decyzji w sprawie osób, których dane dotyczą, wywołujące skutki prawne wobec tych osób. Np. przetwarzanie może prowadzić do wykluczenia lub dyskryminacji osób fizycznych. Przetwarzanie, które ma niewielki wpływ na osoby fizyczne lub nie ma na nie żadnego wpływu, nie spełnia tego konkretnego kryterium.

Przykład:

Systemy profilowania klientów pod kątem preferencji zakupowych, ustalanie cen promocyjnych w oparciu o profil. 

  • systematyczne monitorowanie: przetwarzanie wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których dane dotyczą, w tym danych gromadzonych za pośrednictwem sieci lub w ramach systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Przykład:

Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym ubieralnych (wereable devices). Przedsiębiorca oferujący swoim klientom system monitoringu wizyjnego obejmujący również miejsca publiczniedostępne albo sam stosuje taki system.

  • dane wrażliwe lub dane o charakterze wysoce osobistym: szczególne kategorie danych osobowych oraz dane osobowe dotyczące wyroków skazujących za przestępstwo lub naruszeń prawa;

Przykład:

Szpital przechowujący dokumentację medyczną pacjentów lub prywatny detektyw przechowujący szczegółowe dane przestępców. Przedsiębiorca świadczący usługi przetwarzania danych osobowych zawartych w dokumentacji medycznej.

Oprócz kategorii wymienionych w przepisach, niektóre kategorie danych można uznać za zwiększające potencjalne ryzyko naruszenia praw i wolności osób fizycznych, jak:

 

  •  
    • dane powiązane z gospodarstwem domowym oraz działalnością prywatną (taką jak łączność elektroniczna, której poufność należy chronić); 
    • dane dotyczące lokalizacji, których gromadzenie jest sprzeczne ze swobodą poruszania się; 
    • dokumenty osobiste; 
    • wiadomości e-mail; 
    • dane finansowe, które mogą zostać wykorzystane do oszustw płatniczych; 
    • pamiętniki; 
    • notatki z e-czytników wyposażonych w funkcję notatnika; 
    • dane mające bardzo osobisty charakter zawarte w aplikacjach rejestrujących codzienną aktywność.
  • czy dane przetwarzane są na dużą skalę. RODO nie określa, co to znaczy przetwarzanie na dużą skalę. Żeby stwierdzić, czy przetwarzanie danych odbywa się na dużą skalę, należy wziąć pod uwagę następujące czynniki: liczbę osób, których dane dotyczą, ilość danych lub zakres poszczególnych pozycji danych oraz czas trwania lub trwałość czynności przetwarzania danych, jak też zakres geograficzny czynności przetwarzania.

 

  • dopasowywanie lub łączenie zbiorów danych, np. pochodzących z co najmniej dwóch operacji przetwarzania przeprowadzonych w różnych celach lub przez różnych administratorów, w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą.

Przykład:

Łączenie danych z różnych rejestrów państwowych i/lub publicznych przez firmy marketingowe w celach przeprowadzania akcji marketingowych ukierunkowanych na określone grupy klientów.

  • dane dotyczące osób wymagających szczególnej opieki, do których zaliczają się: dzieci, pracownicy, wrażliwe grupy społeczne wymagające szczególnej ochrony: osoby chore psychicznie osoby ubiegające się o azyl, osoby starsze, pacjenci itp.

Przykład:

Systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności, gdy przetwarzane są w nim dane pracowników.

  • stosowanie nowych rozwiązań technologicznych lub organizacyjnych albo ich innowacyjne wykorzystanie.

Przykład:

Połączenie technologii rozpoznających odcisk palca i twarz w celu poprawy fizycznej kontroli dostępu.

  • przetwarzanie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi czy umowy. Obejmuje to operacje przetwarzania, których celem jest umożliwienie osobom fizycznym dostępu do usługi lub zawarcia umowy, zmiana tej usługi lub odmowa jej wykonania.

Przykład:

Sytuacja, w której bank sprawdza klienta w bazie danych kredytowych, aby zdecydować, czy udzielić mu kredytu.

W następujących przypadkach przetwarzania danych istnieje prawdopodobieństwo, że wymagane będzie przeprowadzenie oceny skutków dla ochrony danych:

  • organizacja działa w obszarze ochrony zdrowia, prowadzi terapię i rehabilitację - ewentualne istotne kryteria: dane wrażliwe lub dane o charakterze wysoce osobistym, dane dotyczące osób wymagających szczególnej opieki, dane przetwarzane na dużą skalę;
  • zastosowanie systemu kamer monitorujących zachowanie kierowców na drogach; administrator planuje wykorzystać inteligentny system analizy obrazu do namierzania pojedynczych samochodów i automatycznego rozpoznawania tablic rejestracyjnych - ewentualne istotne kryteria: systematyczne monitorowanie, innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych;
  • przedsiębiorstwo systematycznie monitoruje działania swoich pracowników: stanowiska pracy i aktywność w internecie itd. - ewentualne istotne kryteria: systematyczne monitorowanie, dane dotyczące osób wymagających szczególnej opieki;
  • podmiot gromadzi publiczne dane z mediów społecznościowych w celu wygenerowania profilu - ewentualne istotne kryteria: oena lub punktacja, dane przetwarzane na dużą skalę. Dopasowanie lub łączenie zbiorów danych, dane wrażliwe lub dane o charakterze wysoce osobistym;
  • instytucja tworząca krajowy rating kredytowy lub bazę danych zawierającą informacje o nadużyciach finansowych - ewentualne istotne kryteria: ocena lub punktacja, automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku, uniemożliwienie osobom, których dane dotyczą, wykonywania prawa lub korzystania z usługi lub umowy, dane wrażliwe lub dane o charakterze wysoce osobistym;
  • podmiot przechowuje do celów archiwizacji wrażliwe dane osobowe opatrzone pseudonimem, dotyczące osób wymagających szczególnej opieki, biorących udział w projektach badawczych - ewentualne istotne kryteria: dane wrażliwe, dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą, uniemożliwienie osobom, których dane dotyczą, wykonywania prawa lub korzystania z usługi lub umowy, dane wrażliwe lub dane o charakterze wysoce osobistym;
  • przetwarzanie danych osobowych pacjentów lub klientów przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika - ewentualne istotne kryteria: dane wrażliwe lub dane o charakterze wysoce osobistym, dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą;
  • podmiot korzysta z listy dystrybucyjnej do wysyłania ogólnego newslettera do swoich subskrybentów - ewentualne istotne kryteria: dane przetwarzane na dużą skalę;
  • strona internetowa z handlem elektronicznym wyświetla reklamy części do samochodów i korzysta z ograniczonego profilowania w oparciu o elementy przeglądane lub kupione na tej stronie - ewentualne istotne kryteria: ocena lub punktacja.

Przykład:

Przetwarzanie danych dotyczących zdrowia na dużą skalę uważa się za mogące powodować wysokie ryzyko i wymaga ono przeprowadzenia oceny skutków dla ochrony danych. W takim przypadku obowiązkiem administratora danych jest dokonanie oceny ryzyka naruszenia praw i wolności osób fizycznych oraz określenie, jakie środki zaplanować w celu zmniejszenia ryzyka do dopuszczalnego poziomu i wykazania przestrzegania RODO.

Przykład:

Przykładem zmniejszenia ryzyka, jeżeli chodzi o przechowywanie danych osobowych na laptopach, może być zastosowanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa (skuteczne szyfrowanie całego dysku, solidne zarządzanie kluczami, odpowiednia kontrola dostępu, zabezpieczone kopie zapasowe, itd.), które uzupełnią już stosowane środki. W przypadkach, w których nie jest jasne, czy wymagane jest przeprowadzenie oceny skutków dla ochrony danych, zaleca się przeprowadzenie takiej oceny, ponieważ stanowi ona przydatne narzędzie ułatwiające administratorom przestrzeganie RODO.

Kiedy przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe?

Ocena skutków dla ochrony danych nie jest wymagana w następujących przypadkach:

  • gdy nie jest prawdopodobne, aby operacja przetwarzania mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych; 
  • gdy charakter, zakres, kontekst i cele przetwarzania są bardzo podobne do operacji przetwarzania, w przypadku których przeprowadzono już ocenę skutków dla ochrony danych; w takich przypadkach można wykorzystać wyniki wcześniej przeprowadzonej oceny skutków dla ochrony danych; 
  • gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach, które nie uległy zmianie; 
  • jeżeli operacja przetwarzania ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, które reguluje daną operację przetwarzania, oraz jeśli oceny skutków dla ochrony danych dokonano już w związku z przyjęciem tej podstawy prawnej; 
  • jeżeli operacje przetwarzania zostały umieszczone w utworzonym przez organ nadzorczy wykazie operacji, które nie podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. W takich przypadkach, o ile wykaz ten nie ulegnie zmianie, przeprowadzenie oceny skutków dla ochrony danych nie jest wymagane, ale tylko wtedy, gdy przetwarzanie jest ściśle zgodne z wykazem i z wymogami RODO.

A co z już prowadzonymi operacjami przetwarzania danych?

Ocena skutków dla ochrony danych niezbędna będzie dopiero dla operacji rozpoczętych po 25 maja 2018 r. lub dotychczasowych operacji znacząco zmienionych po tej dacie - na przykład ponieważ została wprowadzona do użytku nowa technologia lub ponieważ dane osobowe są wykorzystywane w innym celu.

W pewnych okolicznościach wymagane jest zatem przeprowadzenie ocen skutków dla ochrony danych dla już istniejących operacji przetwarzania. 

Wymóg przeprowadzenia oceny skutków dla ochrony danych dotyczy istniejących operacji przetwarzania, które ze względu na użycie nowych technologii, zakres i kategorie przetwarzania mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania. 

Dotyczy to więc tych operacji, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Dotyczy także sytuacji, gdy nastąpiła zmiana rodzaju ryzyka.

Przeprowadzenie oceny skutków dla ochrony danych może być więc wymagane po zmianie rodzaju ryzyka operacji przetwarzania, np. z powodu wykorzystania nowej technologii lub dlatego, że dane osobowe wykorzystywane są w innym celu. Operacje przetwarzania danych mogą się szybko zmieniać i mogą pojawić się nowe zagrożenia.

Przeprowadzenie oceny skutków dla ochrony danych może być też konieczne ze względu na zmianę kontekstu organizacyjnego lub społecznego czynności przetwarzania, np. ponieważ skutki niektórych automatycznie podejmowanych decyzji stały się bardziej znaczące lub ponieważ nowe kategorie osób fizycznych są narażone na dyskryminację. Każdy z tych przykładów może być elementem prowadzącym do zmiany ryzyka danej czynności przetwarzania.

Z drugiej strony, niektóre zmiany mogą również zmniejszyć ryzyko. Np. operacja przetwarzania może ewoluować w taki sposób, że decyzje nie będą już podejmowane automatycznie, lub działania monitorujące przestaną być realizowane systematycznie. W tym przypadku przegląd przeprowadzonej analizy ryzyka może wykazać, że nie ma już potrzeby przeprowadzenia oceny skutków dla ochrony danych.

GIODO zdecydowanie zaleca jednak dokonanie oceny skutków dla wszystkich trwających już operacji przetwarzania danych spełniających kryteria wskazane w art. 35 rozporządzenia.

Warto więc wcześniej zanalizować okoliczności, w których prowadzone przez administratora operacje będą wymagały dokonania takiej oceny. Powinien on zastanowić się, kto w jego organizacji jej dokona oraz kto powinien być w ten proces zaangażowany (zasięganie opinii niezależnych ekspertów).

Dobrą praktyką powinno zatem być stałe przeprowadzanie przeglądu oceny skutków dla ochrony danych i regularne przeprowadzanie ponownej oceny. W związku z tym, nawet jeśli w dniu 25 maja 2018 r. nie wymaga się przeprowadzenia oceny skutków dla ochrony danych, administrator będzie musiał w odpowiednim momencie przeprowadzić taką ocenę w ramach swoich ogólnych obowiązków w zakresie rozliczalności, jeżeli spełnione zostaną przesłanki wskazane w art. 35 RODO.

Rozporządzenie identyfikuje także problem oceny skutków dla ochrony danych dla operacji prowadzonych przez podmioty sektora publicznego w sytuacji, gdy podstawą przetwarzania danych osobowych jest przepis prawa lub interes publiczny. W tej sytuacji ocena skutków powinna zostać przeprowadzona w ramach oceny skutków regulacji (OSR) dla aktu prawnego stanowiącego podstawę dla takiego przetwarzania.

W jakim momencie należy przeprowadzić ocenę skutków dla ochrony danych?

Należy ją przeprowadzić przed rozpoczęciem przetwarzania. Jest to zgodne z zasadami dotyczącymi uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych.

Ocenę skutków dla ochrony danych należy traktować jako narzędzie wspomagające podejmowanie decyzji w sprawie przetwarzania danych. Ocena skutków dla ochrony danych powinna rozpocząć się jak najwcześniej w fazie projektowania operacji przetwarzania, nawet jeśli niektóre operacje przetwarzania jeszcze są nieznane.

W miarę rozwoju procesu konieczne może być również powtórzenie poszczególnych etapów oceny, ponieważ wybór niektórych środków technicznych lub organizacyjnych może wpłynąć na prawdopodobieństwo wystąpienia zagrożenia lub jego wagę.

Fakt, że aktualizacja oceny skutków dla ochrony danych może okazać się konieczna już po rozpoczęciu przetwarzania, nie uzasadnia odroczenia bądź nieprzeprowadzenia oceny skutków dla ochrony danych.

Ocena skutków dla ochrony danych jest procesem ciągłym, szczególnie gdy operacja przetwarzania podlega zmianom. Prowadzenie oceny skutków dla ochrony danych powinno być procesem ciągłym, a nie jednorazowym.

Kto jest zobowiązany do przeprowadzenia oceny skutków dla ochrony danych?

Do przeprowadzenia oceny zobowiązany jest administrator, wspólnie z IOD-em i ewentualnie firmą przetwarzającą. Za zapewnienie przeprowadzenia oceny skutków dla ochrony danych jest odpowiedzialny administrator. Ocenę skutków dla ochrony danych można powierzyć firmie zewnętrznej, jednak ostateczna odpowiedzialność za wykonanie zadania spoczywa na administratorze. W niektórych przypadkach administrator musi zasięgnąć opinii osób, których dane dotyczą, lub ich przedstawicieli (np. związków zawodowych).

Co powinna zawierać ocena skutków dla ochrony danych?

Ocena skutków dla ochrony danych osobowych może być przeprowadzana według różnych metod i na różne sposoby. RODO określa tylko minimalne elementy oceny skutków dla ochrony danych:

  • opis planowanych operacji przetwarzania i celów przetwarzania (np. prawnie uzasadnionych interesów realizowanych przez administratora), 
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne do celów, 
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; 
  • środki planowane w celu: zaradzenia ryzyku oraz wykazania przestrzegania rozporządzenia (m.in. zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia, z uwzględnieniem prawi prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy).

Powtarzalny proces przeprowadzania oceny skutków dla ochrony danych powinien obejmować następujące etapy:

  1. opis planowanych operacji przetwarzania;
  2. ocena konieczności i proporcjonalności przetwarzania danych;
  3. środki planowane w celu wykazania zgodności z wymogami RODO;
  4. ocena ryzyka naruszenia praw i wolności;
  5. środki planowane w celu wyeliminowania ryzyka;
  6. dokumentacja przeprowadzonej oceny;
  7. monitorowanie i przegląd.

Z perspektywy zarządzania ryzykiem ocena skutków dla ochrony danych ma na celu zarządzanie czynnikami ryzyka naruszenia praw i wolności osób fizycznych, poprzez:

  • określanie kontekstu: uwzględnienie charakteru, zakresu i celów przetwarzania oraz źródeł ryzyka; 
  • przeprowadzanie oceny ryzyka: ocena konkretnego prawdopodobieństwa i powagi tego wysokiego ryzyka; 
  • traktowanie ryzyka: minimalizowanie tego ryzyka i zapewnienie ochrony danych osobowych, a także wykazanie przestrzegania niniejszego rozporządzenia.

Metody przeprowadzania oceny skutków dla ochrony danych

Można zastosować różne metodyki ochrony danych i oceny skutków, aby wspomóc wdrażanie podstawowych wymogów określonych w RODO. Poniżej znajdują się wspólne kryteria, które mają umożliwić stosowanie różnych metod, a jednocześnie pozwolić administratorom na zachowanie zgodności z RODO. Kryteria te uściślają podstawowe wymogi zawarte w rozporządzeniu, lecz dają także wystarczającą swobodę, żeby umożliwić różne formy wdrażania. Kryteria można wykorzystać do wykazania, że konkretna metodyka oceny skutków dla ochrony danych spełnia standardy przewidziane w RODO. Decyzję o wyborze metodyki podejmuje administrator danych, lecz powinna ona być zgodna z poniższymi kryteriami.

Niezależnie od formy, ocena skutków dla ochrony danych musi stanowić rzeczywistą ocenę ryzyka, która pozwala administratorom podjąć działania na rzecz wyeliminowania ryzyka.

Kryteria dopuszczalnej oceny skutków dla ochrony danych - tj. kryteria, z których administratorzy danych mogą korzystać, aby ocenić, czy ocena skutków dla ochrony danych lub metodyka służąca do dokonania oceny skutków dla ochrony danych są wystarczająco kompleksowe do zachowania zgodności z RODO, to:

  • zapewniono systematyczny opis operacji przetwarzania: 
    • uwzględniono charakter, zakres, kontekst i cele przetwarzania; 
    • w rejestrze zamieszczono dane osobowe, informacje o odbiorcach i okresie przechowywania danych osobowych; 
    • przedstawiono funkcjonalny opis operacji przetwarzania; 
    • zidentyfikowano zasoby, z którymi styczność mają dane osobowe (sprzęt komputerowy, oprogramowanie, sieci, osoby, opracowania lub kanały transmisji opracowań); 
    • uwzględniono przestrzeganie zatwierdzonych kodeksów postępowania; 
  • oceniono niezbędność oraz proporcjonalność, tj. wskazano środki, których podjęcie jest planowane w celu zapewnienia przestrzegania rozporządzenia, uwzględniając: 
    • środki przyczyniające się do proporcjonalności i niezbędności przetwarzania, z uwzględnieniem następujących aspektów: konkretne, wyraźne i prawnie uzasadnione cele; zgodność przetwarzania z prawem; dane adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane; ograniczony czas przechowywania; 
    • środki przyczyniające się do zachowania praw osób, których dane dotyczą: poinformowanie osoby, której dane dotyczą; prawo dostępu i prawo do przenoszenia danych; prawo do sprostowania i do usunięcia danych; prawo do sprzeciwu i prawo do ograniczenia przetwarzania; relacje z podmiotem przetwarzającym; zabezpieczenia przy międzynarodowym przekazywaniu danych; uprzednie konsultacje; 
  • przeprowadzono działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą: 
    • uwzględniono źródło, charakter, specyfikę i powagę ryzyka, czy konkretniej, w przypadku każdego rodzaju ryzyka (bezprawnego dostępu, niepożądanej zmiany i zniknięcia danych), z punktu widzenia osób, których dane dotyczą: uwzględniono źródła ryzyka; zidentyfikowano możliwe skutki dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych; zidentyfikowano zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych; oszacowano prawdopodobieństwo i powagę; 
    • określono środki, których podjęcie jest planowane w celu zaradzenia ryzyku; 
    •  zaangażowano zainteresowane strony: skonsultowano się z inspektorem ochrony danych w celu uzyskania zalecenia; w stosownych przypadkach zasięgnięto opinii osób, których dane dotyczą, lub ich przedstawicieli.

Zaleca się sporządzanie oceny w taki sposób, żeby w razie konieczności można było przedstawić ją organowi nadzorczemu.

 

Pamiętaj, że:

  • przy przeprowadzaniu oceny skutków dla ochrony danych przyjmujemy perspektywę osób fizycznych, ponieważ ocena dotyczy ryzyka naruszenia praw tych osób;
  • niezależnie od formy, ocena skutków dla ochrony danych musi stanowić rzeczywistą ocenę ryzyka, która pozwala administratorom podjąć działania na rzecz wyeliminowania ryzyka;
  • oceny skutków dla ochrony danych to narzędzia istotne dla celów rozliczalności, gdyż pomagają administratorom nie tylko w przestrzeganiu wymogów RODO, ale też w wykazaniu, iż podjęto odpowiednie środki w celu zapewnienia zgodności z rozporządzeniem; a więc ocena skutków dla ochrony danych to proces służący do zapewnienia i wykazania zgodności przetwarzania danych z RODO.

Więcej praktycznych informacji na ten temat jest w przygotowanych przez GIODO i Grupę Roboczą Art. 29 Wytycznych WP 248 dotyczących oceny skutków dla ochrony danych (DPIA). 

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

  

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - art. 35.



A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika