Poradnik Przedsiębiorcy

Czym jest ocena skutków dla ochrony danych (DPiA)?

Rozporządzenie RODO zniosło wymóg rejestrowania przez administratorów danych osobowych w GIODO i zastąpiło go obowiązkiem dokonywania oceny skutków dla ochrony danych. Czy ocena skutków dla ochrony danych osobowych musi być sporządzona prze z każdego przedsiębiorcę?

Czym jest ocena skutków ochrony danych osobowych?

Ocena skutków dla ochrony danych osobowych (zwana zamiennie DPiA lub oceną skutków regulacji) to dokonanie oceny przez administratora danych, czy z operacjami przetwarzania danych osobowych w firmie wiąże się ryzyko lub wysokie ryzyko naruszenia praw osób, których dane dotyczą (np. naruszenie prawa do prywatności).

Jeśli dla przetwarzanych w firmie danych osobowych istnieje wysokie ryzyko naruszeń bezpieczeństwa informacji, wtedy należy przeprowadzić DPiA, czyli zidentyfikować zagrożenia, które mogą naruszyć dane osobowe oraz zastosować odpowiednie środki zapobiegawcze, które nie dopuszczą lub zminimalizują ryzyko naruszenia tych danych.

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Nieprzestrzeganie wymogów dotyczących oceny skutków ochrony danych może być zagrożone karą grzywny. Natomiast nieprzeprowadzenie DPiA, gdy jest ona wymagana (ze względu na wysokie ryzyko naruszenia bezpieczeństwa przetwarzania danych osobowych) może skutkować karą w wysokości do 10 mln EUR lub, w przypadku przedsiębiorstwa, do 2% całkowitego rocznego obrotu, w zależności od tego, która kwota jest wyższa. 

Kto musi przeprowadzić ocenę skutków ochrony danych?

Przeprowadzenie oceny skutków jest w szczególności wymagane w przypadku:

  • systematycznej, kompleksowej, zautomatyzowanej oceny czynników osobowych,  na podstawie której podejmowane są decyzje wywołujące skutki prawne wobec osoby fizycznej,

  • przetwarzania na dużą skalę wrażliwych danych osobowych,

  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Aby sprawdzić, czy ocena skutków dla ochrony danych jest wymagana, zaleca się zweryfikowanie, czy przetwarzanie spełnia następujące kryteria:

  • ocena oraz scoring - profilowanie oraz przewidywanie, w szczególności dotyczące takich danych, jak: zdrowie, zainteresowania, lokalizacja,

  • zautomatyzowane podejmowanie decyzji wywołujące skutki prawne, np. profilowanie klientów pod kątem preferencji zakupowych,

  • systematyczne monitorowanie, mające na celu obserwowanie podmiotu danych osobowych (np. w hotelu, na stacji benzynowej, w restauracji itp.),

  • przetwarzanie wrażliwych danych osobowych, np. gromadzenie dokumentacji medycznej,

  • przetwarzanie danych na dużą skalę,

  • wykorzystanie do przetwarzania danych innowacji technologicznych, np. biometria,

  • transfer danych poza Unię Europejską.

Jeżeli administrator, firma ma do czynienia z co najmniej jedną z powyższych sytuacji, wtedy DPiA jest wymagana.

Uwaga!

To administrator danych (np. przedsiębiorca) samodzielnie podejmuje decyzję czy jest konieczna ocena skutków dla ochrony danych.

Co powinna zawierać ocena skutków dla ochrony danych?

Ocena skutków dla ochrony danych osobowych, jest podobna w swej zawartości do podstawowej oceny ryzyka, o której przeczytamy w artykule: Ocena ryzyka w RODO - czy naprawdę taka straszna? Ocena skutków dla ochrony danych powinna zawierać przede wszystkim:

  • opis operacji przetwarzania danych osobowych (np. niszczenie, zbieranie itp.) i cel ich przetwarzania,

  • ocenę niezbędności przetwarzania danego rodzaju danych oraz wskazanie, czy danego ryzykownego działania można uniknąć, a jeśli nie, to wskazanie, jakie środki zapobiegawcze przyjęto,

  • ocenę ryzyka naruszenia praw i wolności podmiotów danych osobowych,

  • środki planowane w celu zapobieżenia ryzyka oraz wykazanie zgodności przetwarzania danych osobowych.

Ocena skutków dla ochrony danych może mieć więcej elementów niż powyższe dane, jednak są one  obowiązkowe dla DPiA.

Kiedy i jak wykonać ocenę skutków ochrony danych DPiA?

DPiA należy przeprowadzić przed rozpoczęciem operacji przetwarzania (czyli już w procesie planowania przetwarzania danych). Ocena skutków dla ochrony danych (DPiA) może być dokonana dowolną metodą. RODO wskazuje jedynie niezbędne elementy, jakie powinna zawierać (zostały one wymienione w poprzednim nagłówku).

Ocenę należy sporządzić w taki sposób, aby w razie kontroli można było ją przedstawić organowi nadzorczemu zgodnie z zasadą rozliczalności.

Uwaga!

Do przeprowadzenia oceny skutków ochrony danych zobowiązany jest Administrator, wspólnie z Inspektorem Ochrony Danych - jeśli został wyznaczony.

Ocenę skutków dla ochrony danych można powierzyć firmie zewnętrznej, jednak odpowiedzialność za nią ponosi administrator.

Jeśli chodzi o operacje przetwarzania, które istniały już przed wejściem w życiem RODO, to

sporządzenie DPiA jest wymagane, jeśli

  • operacje przetwarzania mogą powodować wysokie ryzyko naruszenia bezpieczeństwa,

  • nastąpiła zmiana rodzaju ryzyka.

Dobrą praktyką jednak powinno być stałe przeprowadzanie przeglądu oceny skutków dla ochrony danych i jej aktualizacja. Dlatego też nawet jeżeli 25 maja 2018 r. nie wymaga się przeprowadzenia DPiA, administrator danych i tak będzie musiał w odpowiednim momencie przeprowadzić taką ocenę w ramach zasady rozliczalności.

Przykładowy arkusz dla DPiA - ryzyko


Ocena skutków dla ochrony danych - czym jest?

Ocena ryzyka jest najczęściej dokonywana w oparciu o ustalone przez firmę kryteria, może to być np. ocenianie pod względem częstotliwości lub prawdopodobieństwa wystąpienia danego ryzyka oraz jego istoty, wagi.

Kiedy nie trzeba przeprowadzać oceny skutków ochrony danych?

Ocena skutków dla ochrony danych nie jest obowiązkowa, gdy:

  • nie jest prawdopodobne, aby operacja przetwarzania mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych,

  • charakter, zakres i cel przetwarzania są podobne do przetwarzania, dla którego sporządzono już ocenę skutków,

  • operacja przetwarzania ma podstawę prawną - czyli wtedy, kiedy dany rodzaj przetwarzania jest uregulowany aktami prawnymi (ustawą, rozporządzeniem),

  • operacja przetwarzania jest uwzględniona w ustanowionym przez Prezesa Urzędu Ochrony Danych Osobowych opcjonalnym wykazie “operacji przetwarzania niepodlegającym sporządzeniu oceny skutków”,

  • gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach i nie uległy zmianie.