Poradnik Przedsiębiorcy

Ocena skutków dla ochrony danych osobowych w RODO

Jedną z nowości, jaką wprowadziło rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) jest procedura oceny skutków dla ochrony danych osobowych. Choć jest ona – w przeciwieństwie do groźby wysokich kar finansowych, pojęć anomizacji i pseudonimizacji czy obostrzeń związanych z profilowaniem użytkowników – mniej popularnym tematem, bez wątpienia stanowi jednocześnie jedną z podstawowych wartości RODO. Co oznacza ocena skutków dla ochrony danych osobowych?

Czym jest ocena skutków dla ochrony danych osobowych?

Ocena skutków dla ochrony danych osobowych (tzw. Data Protection Impact Assessment, w skrócie DPIA) stanowi szczególną procedurę, którą ma obowiązek stosować administrator danych (w porozumieniu z inspektorem danych osobowych, o ile został on wyznaczony). Celem tego mechanizmu jest zapewnienie poprawności przetwarzania danych osobowych oraz umożliwienie administratorowi danych (np. przedsiębiorcy przetwarzającemu dane osobowe swoich pracowników czy klientów) dokładnego oszacowania, jakie środki techniczne w najbardziej odpowiedni sposób zabezpieczą przetwarzane przez niego dane.

Przepis art. 35 ust. 1 rozporządzenia RODO
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Ocena skutków dla ochrony danych musi zostać przeprowadzona wówczas, gdy przechowywanie i przetwarzanie danych grozi wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Pod pojęciem „wysokiego ryzyka naruszenia praw lub wolności osób fizycznych” kryją się wszystkie możliwe zdarzenia, które wiązałyby się z uszczerbkiem dla osoby fizycznej – na przykład kradzieżą jej tożsamości, popełnieniem przestępstwa na jej szkodę czy dyskryminacją.

Każdy administrator danych ma obowiązek dokonania oceny skutków dla ochrony danych osobowych, jeśli przetwarzanie danych może nieść za sobą ryzyko uszczerbku w dobrach osoby fizycznej (na przykład zagrażać popełnieniem przestępstwa na szkodę tej osoby). Jeśli przedsiębiorca przetwarza dane, których utrata może wiązać się z takim skutkiem (np. dane kart płatniczych, numer PESEL, numer dowodu osobistego), wówczas powinien przeprowadzić ocenę skutków.

Ocena skutków winna zostać przeprowadzona przed rozpoczęciem przetwarzania danych osobowych.

Motyw 84 rozporządzenia wskazuje, że w przypadku, w którym ocena skutków dla ochrony danych wykaże, że prowadzone przez administratora operacje przetwarzania powodują wysokie ryzyko (czyli przykładowo popełnienie przestępstwa przez inny podmiot na szkodę osoby fizycznej, której dane są przetwarzane, byłoby bardzo prawdopodobne), administrator danych powinien skonsultować się z organem nadzorczym (w Polsce – z Urzędem Ochrony Danych Osobowych), jeśli ryzyko naruszenia praw i wolności nie może zostać zminimalizowane za pomocą dostępnych środków technologicznych. W tym przypadku ma on również obowiązek oceny kosztów wdrożenia odpowiednich zabezpieczeń.

Operacje wymagające przeprowadzenia oceny skutków

24 sierpnia 2018 r. w Dzienniku Urzędowym Rzeczypospolitej Polskiej opublikowano Komunikat Prezesa Urzędu Ochrony Danych Osobowych z 17 sierpnia 2018 r. w sprawie  wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Załącznik do komunikatu zawiera szczegółowy wykaz operacji, w których przypadku przeprowadzenie oceny skutków jest obligatoryjne:

  1. ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (np. profilowanie użytkowników portali społecznościowych czy ocena stylu życia osób fizycznych);

  2. zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki (np. monitorowanie zakupów i monitorowanie preferencji zakupowych lub systemy monitoringu);

  3. systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie, wykorzystujących elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni, oprócz monitorowania wyłącznie w celu analizy incydentów naruszenia prawa (np. systemy monitorowania pracowników, monitoring pojazdów, dane dotyczące zdrowia klientów);

  4. przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących oraz czynów zabronionych – tzw. danych wrażliwych (np. przetwarzanie danych biometrycznych klientów, regularne przetwarzanie danych osobowych umożliwiających obserwację stylu życia, prowadzenie portali przeznaczonych dla osób fizycznych przetwarzających informacje o charakterze domowym i osobistym);

  5. dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: liczby osób, których dane są przetwarzane, zakresu przetwarzania, okresu przechowywania danych oraz geograficznego zakresu przetwarzania (np. zbieranie danych o przeglądanych stronach internetowych);

  6. przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł  (np. zbieranie danych dotyczących zakupów w sklepach internetowych);

  7. przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami władczymi i/lub oceniającymi (np. prowadzenie systemu umożliwiającego pracownikom zgłaszanie nieprawidłowości występujących w przedsiębiorstwie);

  8. innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych (np. oferowanie usług i zabawek dla dzieci, systemy analizy i przetwarzania metadanych);

  9. przypadki, w których przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy (np. przedsiębiorcy oferujący sprzedaż ratalną).

Jeśli przedsiębiorca dokonuje czynności wymienionej w którymkolwiek z przywołanych powyżej punktów, ma obowiązek przeprowadzenia oceny skutków. Zaniedbanie tego obowiązku może grozić wysoką karą finansową.

Dwa etapy oceny skutków

Ocena skutków dla ochrony danych osobowych powinna składać się z dwóch podstawowych etapów:

  1. w pierwszej kolejności przedsiębiorca powinien przeprowadzić dokładną analizę i sprawdzić, czy przetwarzane przez niego dane (z uwagi na swój charakter, zakres, cel, itp.) niosą za sobą wspomniane powyżej wysokie ryzyko;

  2. jeśli wstępna analiza wskaże, że istnieje wysokie ryzyko dla osób, których dane dotyczą, administrator danych ma obowiązek przeprowadzenia właściwej oceny skutków.

Po przeprowadzeniu oceny skutków administrator danych powinien uwzględnić wyniki tej procedury przy projektowaniu systemu zabezpieczeń. Warto pamiętać, że RODO nie narzuca podmiotom przetwarzającym i przechowującym dane osobowe żadnych konkretnych rozwiązań – obowiązkiem administratora danych jest dobranie takich rozwiązań, które będą optymalne z punktu widzenia jego potrzeb.

Uwaga!
Jednorazowa ocena skutków nie wystarczy – administrator danych winien powtarzać ocenę skutków, zwłaszcza w przypadku, w którym ryzyko dla osób fizycznych, których dane są przetwarzane, zmienia się. Administrator danych powinien również dokonywać okresowego przeglądu oceny skutków ryzyka, aby sprawdzać, czy stosowane przez niego środki bezpieczeństwa nadal odpowiadają przechowywanym i przetwarzanym danym.

Przedsiębiorca ma dowolność w wyborze dokładnej metody przeprowadzenia oceny skutków dla ochrony danych osobowych. Wydaje się, że najdogodniejszą formą byłoby stworzenie formularza-szablonu, zawierającego poszczególne kategorie informacji wymaganych przez RODO.

Zgodnie z regulacjami RODO ocena winna zawierać co najmniej:

  • systematyczny opis planowanych operacji przetwarzania oraz ich celów, a także – jeśli ma to zastosowanie – wskazanie prawnie uzasadnionych interesów administratora danych;

  • określenie, czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do obranych celów;

  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

  • planowane w celu zaradzenia ryzyku środki (w tym zabezpieczenia, środki i mechanizmy bezpieczeństwa).

Przedsiębiorca może w swojej ocenie skutków umieścić również inne elementy, jeśli uzna, że jest to korzystne z punktu widzenia jego przedsiębiorstwa.