Poradnik Przedsiębiorcy

Czym jest ocena skutków dla ochrony danych (DPiA)?

Rozporządzenie RODO zniosło wymóg rejestrowania przez administratorów danych osobowych w GIODO i zastąpiło go obowiązkiem dokonywania oceny skutków dla ochrony danych. Czy ocena skutków dla ochrony danych osobowych musi być sporządzona prze z każdego przedsiębiorcę?

Czym jest ocena skutków ochrony danych osobowych?

Ocena skutków dla ochrony danych osobowych (zwana zamiennie DPiA lub oceną skutków regulacji) to dokonanie oceny przez administratora danych, czy z operacjami przetwarzania danych osobowych w firmie wiąże się ryzyko lub wysokie ryzyko naruszenia praw osób, których dane dotyczą (np. naruszenie prawa do prywatności).

Jeśli dla przetwarzanych w firmie danych osobowych istnieje wysokie ryzyko naruszeń bezpieczeństwa informacji, wtedy należy przeprowadzić DPiA, czyli zidentyfikować zagrożenia, które mogą naruszyć dane osobowe oraz zastosować odpowiednie środki zapobiegawcze, które nie dopuszczą lub zminimalizują ryzyko naruszenia tych danych.

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Nieprzestrzeganie wymogów dotyczących oceny skutków ochrony danych może być zagrożone karą grzywny. Natomiast nieprzeprowadzenie DPiA, gdy jest ona wymagana (ze względu na wysokie ryzyko naruszenia bezpieczeństwa przetwarzania danych osobowych) może skutkować karą w wysokości do 10 mln EUR lub, w przypadku przedsiębiorstwa, do 2% całkowitego rocznego obrotu, w zależności od tego, która kwota jest wyższa. 

Kto musi przeprowadzić ocenę skutków ochrony danych?

Przeprowadzenie oceny skutków jest w szczególności wymagane w przypadku:

  • systematycznej, kompleksowej, zautomatyzowanej oceny czynników osobowych,  na podstawie której podejmowane są decyzje wywołujące skutki prawne wobec osoby fizycznej,

  • przetwarzania na dużą skalę wrażliwych danych osobowych,

  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Aby sprawdzić, czy ocena skutków dla ochrony danych jest wymagana, zaleca się zweryfikowanie, czy przetwarzanie spełnia następujące kryteria:

  • ocena oraz scoring - profilowanie oraz przewidywanie, w szczególności dotyczące takich danych, jak: zdrowie, zainteresowania, lokalizacja,

  • zautomatyzowane podejmowanie decyzji wywołujące skutki prawne, np. profilowanie klientów pod kątem preferencji zakupowych,

  • systematyczne monitorowanie, mające na celu obserwowanie podmiotu danych osobowych (np. w hotelu, na stacji benzynowej, w restauracji itp.),

  • przetwarzanie wrażliwych danych osobowych, np. gromadzenie dokumentacji medycznej,

  • przetwarzanie danych na dużą skalę,

  • wykorzystanie do przetwarzania danych innowacji technologicznych, np. biometria,

  • transfer danych poza Unię Europejską.

Jeżeli administrator, firma ma do czynienia z co najmniej jedną z powyższych sytuacji, wtedy DPiA jest wymagana.

Uwaga!

To administrator danych (np. przedsiębiorca) samodzielnie podejmuje decyzję czy jest konieczna ocena skutków dla ochrony danych.

Co powinna zawierać ocena skutków dla ochrony danych?

Ocena skutków dla ochrony danych osobowych, jest podobna w swej zawartości do podstawowej oceny ryzyka, o której przeczytamy w artykule: Ocena ryzyka w RODO - czy naprawdę taka straszna? Ocena skutków dla ochrony danych powinna zawierać przede wszystkim:

  • opis operacji przetwarzania danych osobowych (np. niszczenie, zbieranie itp.) i cel ich przetwarzania,

  • ocenę niezbędności przetwarzania danego rodzaju danych oraz wskazanie, czy danego ryzykownego działania można uniknąć, a jeśli nie, to wskazanie, jakie środki zapobiegawcze przyjęto,

  • ocenę ryzyka naruszenia praw i wolności podmiotów danych osobowych,

  • środki planowane w celu zapobieżenia ryzyka oraz wykazanie zgodności przetwarzania danych osobowych.

Ocena skutków dla ochrony danych może mieć więcej elementów niż powyższe dane, jednak są one  obowiązkowe dla DPiA.

Kiedy i jak wykonać ocenę skutków ochrony danych DPiA?

DPiA należy przeprowadzić przed rozpoczęciem operacji przetwarzania (czyli już w procesie planowania przetwarzania danych). Ocena skutków dla ochrony danych (DPiA) może być dokonana dowolną metodą. RODO wskazuje jedynie niezbędne elementy, jakie powinna zawierać (zostały one wymienione w poprzednim nagłówku).

Ocenę należy sporządzić w taki sposób, aby w razie kontroli można było ją przedstawić organowi nadzorczemu zgodnie z zasadą rozliczalności.

Uwaga!

Do przeprowadzenia oceny skutków ochrony danych zobowiązany jest Administrator, wspólnie z Inspektorem Ochrony Danych - jeśli został wyznaczony.

Ocenę skutków dla ochrony danych można powierzyć firmie zewnętrznej, jednak odpowiedzialność za nią ponosi administrator.

Jeśli chodzi o operacje przetwarzania, które istniały już przed wejściem w życiem RODO, to

sporządzenie DPiA jest wymagane, jeśli

  • operacje przetwarzania mogą powodować wysokie ryzyko naruszenia bezpieczeństwa,

  • nastąpiła zmiana rodzaju ryzyka.

Dobrą praktyką jednak powinno być stałe przeprowadzanie przeglądu oceny skutków dla ochrony danych i jej aktualizacja. Dlatego też nawet jeżeli 25 maja 2018 r. nie wymaga się przeprowadzenia DPiA, administrator danych i tak będzie musiał w odpowiednim momencie przeprowadzić taką ocenę w ramach zasady rozliczalności.

Przykładowy arkusz dla DPiA - ryzyko


Ocena skutków dla ochrony danych - czym jest?

Ocena ryzyka jest najczęściej dokonywana w oparciu o ustalone przez firmę kryteria, może to być np. ocenianie pod względem częstotliwości lub prawdopodobieństwa wystąpienia danego ryzyka oraz jego istoty, wagi.

Kiedy nie trzeba przeprowadzać oceny skutków ochrony danych?

Ocena skutków dla ochrony danych nie jest obowiązkowa, gdy:

  • nie jest prawdopodobne, aby operacja przetwarzania mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych,

  • charakter, zakres i cel przetwarzania są podobne do przetwarzania, dla którego sporządzono już ocenę skutków,

  • operacja przetwarzania ma podstawę prawną - czyli wtedy, kiedy dany rodzaj przetwarzania jest uregulowany aktami prawnymi (ustawą, rozporządzeniem),

  • operacja przetwarzania jest uwzględniona w ustanowionym przez Prezesa Urzędu Ochrony Danych Osobowych opcjonalnym wykazie “operacji przetwarzania niepodlegającym sporządzeniu oceny skutków”,

  • gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach i nie uległy zmianie.

Rola Inspektora Ochrony Danych Osobowych (IOD) w DPiA

Jeżeli w firmie został wyznaczony IOD, wtedy należy z nim konsultować obowiązek przeprowadzania DPiA oraz wspólnie z nim ocenę skutków przeprowadzać.

Wytyczne Grupy Roboczej art. 29 dotyczące inspektora ochrony danych zalecają administratorowi i podmiotowi przetwarzającemu zasięganie porady inspektora między innymi w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych,

  • jaką metodologię należy przyjąć przy przeprowadzeniu oceny skutków dla ochrony danych,

  • czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych, czy też zlecić ją podmiotowi zewnętrznemu,

  • jakie zabezpieczenia (w tym środki techniczne i organizacyjne) mają zastosowanie w celu złagodzenia wszelkich zagrożeń dla praw i interesów osób, których dane dotyczą,

  • czy ocena skutków dla ochrony danych została prawidłowo przeprowadzona oraz czy jej wyniki są zgodne z wymogami ochrony danych (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy zastosować).

Uprzednie konsultacje z Prezesem Urzędu Ochrony Danych Osobowych

Jeżeli DPiA wykaże, że istnieje wysokie ryzyko (np. bezprawne uzyskanie dostępu do danych prowadzące do zagrożenia życia) naruszenia danych osobowych, gdy administrator:

  • nie zastosowałby środków minimalizujących ryzyka lub

  • nie może wystarczająco zniwelować danego ryzyka lub

  • mimo zastosowania środków ryzyko nadal jest wysokie

- to przed rozpoczęciem operacji przetwarzania administrator powinien zgłosić się do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). W wyniku konsultacji PUODO może wydać zalecenia, wskazówki, jakie środki administrator powinien wdrożyć w celu zabezpieczenia danych osobowych.

Wytyczne Grupy Roboczej 29 dotyczące DPiA

Grupa Robocza 29 to zespół niezależnych ekspertów powołanych na mocy przepisów unijnych do wydawania zaleceń na temat wdrażania RODO. Polska w grupie roboczej reprezentowana jest przez Generalnego Inspektora Ochrony Danych Osobowych.

Głównym zadaniem Grupy Roboczej 29 jest przyczynianie się do jednolitego stosowania rozporządzenia RODO przez wszystkie kraje UE oraz wydawanie wytycznych dotyczących stosowania przepisów o ochronie danych osobowych.

Jeden z dokumentów Grupy Roboczej 29 dotyczy oceny skutków regulacji “Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679”.

W “Wytycznych” Grupa podpowiada, jakie kryteria należy wziąć pod uwagę przy sporządzaniu oceny skutków ochrony danych osobowych. Ponadto w dokumencie tym można znaleźć informacje na temat tego, m.in.:

  • czego dotyczy DPiA,

  • jakie operacje przetwarzania danych podlegają DPiA,

  • jak przeprowadzić ocenę skutków ochrony danych osobowych,

  • kiedy należy skonsultować się z organem nadzorczym,

  • wytycznych dotyczących Inspektora Ochrony Danych Osobowych.

Kryteria oceny skutków dla ochrony danych, aby była zgodna z RODO

Grupa Robocza 29 zaproponowała następujące kryteria, aby móc zweryfikować, czy ocena skutków dla ochrony danych jest przeprowadzona zgodnie z wymogami RODO. Zgodnie z wytycznymi, DPiA jest zgodna z RODO, jeśli:

  • zapewniono systematyczny opis operacji przetwarzania:

    • uwzględniono charakter, zakres, kontekst i cele przetwarzania,

    • w rejestrze zamieszczono dane osobowe, informacje o odbiorcach i okresie przechowywania danych osobowych,

    • zidentyfikowano zasoby, z którymi styczność mają dane osobowe (sprzęt komputerowy, oprogramowanie, sieci, osoby, opracowania lub kanały transmisji opracowań);

  • oceniono niezbędność oraz proporcjonalność przetwarzania danych:

    • wskazano środki, których podjęcie jest planowane w celu zapewnienia przestrzegania rozporządzenia,

    • wskazano środki przyczyniające się do zachowania praw osób, których dane dotyczą:

      • poinformowanie osoby, której dane dotyczą,

      • prawo dostępu i prawo do przenoszenia danych,

      • prawo do sprostowania i do usunięcia danych,

      • prawo do sprzeciwu i prawo do ograniczenia przetwarzania,

      • relacje z podmiotem przetwarzającym,

      • zabezpieczenia przy międzynarodowym przekazywaniu danych;

  • przeprowadzono działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą:

    • uwzględniono źródło, charakter, specyfikę i powagę ryzyka,

    • uwzględniono źródła ryzyka,

    • zidentyfikowano możliwe skutki ryzyka,

    • zidentyfikowano zagrożenia dla bezpieczeństwa danych osobowych

    • oszacowano prawdopodobieństwo i powagę ryzyka,

    • określono środki, których podjęcie jest planowane w celu zaradzenia ryzyku.