Grupa Robocza Art. 29 radzi w sprawie oceny skutków przetwarzania

Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Dodano: 25 kwietnia 2017
Grupa Robocza Art. 29 radzi w sprawie oceny skutków przetwarzania

Grupa Robocza Art. 29 wydała wytyczne w sprawie oceny skutków przetwarzania dla ochrony danych. Tłumaczy w nich, w jakich sytuacjach trzeba będzie ją przeprowadzać i od kiedy należy zacząć realizować ten obowiązek.

Wytyczne do ogólnego rozporządzenia o ochronie danych wydane na początku kwietnia 2017 r. przez Grupę Roboczą Art. 29 dotyczą przeprowadzania oceny skutków dla ochrony danych oraz określania, kiedy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności podmiotu danych.

W jakich sytuacjach trzeba przeprowadzić ocenę skutków przetwarzania

Ocenę skutków dla ochrony danych przeprowadza się, jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 rodo).

Grupa Robocza Art. 29 podaje przykłady sytuacji, które powodują wysokie ryzyko naruszenia tych praw:

  • systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa,
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Wskazuje także kryteria, które trzeba wziąć pod uwagę, oceniając, czy przetwarzanie wiąże się z dużym ryzykiem. Należą do nich:

1) ocenianie lub przypisywanie punktów, w tym profilowanie i prognozowanie – np. w banku, który przeprowadza ocenę zdolności kredytowej w oparciu o bazę danych dotyczącą udzielonych kredytów i pożyczek.

2) automatyczne podejmowanie decyzji wywołujących skutki prawne lub podobne,

3) systematyczne monitorowanie,

4) przetwarzanie danych wrażliwych i danych dotyczących wyroków skazujących,

5) przetwarzanie danych na dużą skalę – trzeba tu brać pod uwagę liczbę osób, których dane dotyczą, ilość i zakres przetwarzanych danych, okres i zakres geograficzny przetwarzania,

6) zbiory danych, które zostały połączone – chodzi o zbiory, któr początkowo zostały utworzone w wyniku różnych operacji przetwarzania, prowadzonych dla różnych celów lub przez różnych administratorów,

7) dane dotyczą osób, które wymagają szczególnej opieki,

8) innowacyjne wykorzystanie rozwiązań technologicznych lub organizacyjnych,

9) przekazywanie danych do państw trzecich,

10) operacje przetwarzania, które uniemożliwiają podmiotom danych korzystanie z ich praw lub uniemożliwiają zawarcie umowy lub korzystanie z usług.

Zgodnie z wytycznymi Grupy Roboczej Art. 29, jeśli przetwarzanie spełnia mniej niż dwa kryteria, nie będzie wymagana ocena skutków. Natomiast jeżeli planowana operacja przetwarzania spełnia co najmniej dwa kryteria, konieczne będzie przeprowadzenie oceny skutków przetwarzania.

Przykład

Jakie podmioty będą musiały przeprowadzić ocenę skutków przetwarzania:

  • szpital, który przetwarza dane genetyczne i dane o stanie zdrowia pacjentów,
  • administrator, który wykorzystuje system kamer do monitorowania zachowania kierowców na drogach, wraz z automatycznych rozpoznawaniem tablic rejestracyjnych,
  • firma monitorująca zachowania pracowników, w tym aktywność w internecie, używanie komputera,
  • zbieranie publicznych profili w mediach społecznościowych do tworzenia profili w celu skontaktowania się.

W jakich sytuacjach nie trzeba przeprowadzać oceny skutków przetwarzania

Zgodnie z wytycznymi Grupy Robocza Art. 29 nie trzeba będzie prowadzić oceny skutków przetwarznia, gdy:

  • nie zachodzi duże prawdopodobieństwo, że przetwarzanie powodowałoby wysokie ryzyko naruszenia praw i wolności podmiotów danych,
  • charakter, zakres, kontekst i cele operacji przetwarzania są bardzo podobne do innej operacji przetwarzania, dla której już przeprowadzono ocenę skutków,
  • operacja przetwarzania ma podstawę prawną w prawie unijnym lub państwa członkowskiego i przepisy prawa regulują konkretną operację przetwarzania, a ocenę skutków dla ochrony danych przeprowadzono już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej, przy czym taka ocena skutków musiała być przeprowadzona zgodnie ze standardami zawartymi w rodo,
  • operacja przetwarzania znajduje się na liście operacji, które nie wymagają przeprowadzania oceny skutków – listy takie mogą tworzyć i publikować organy nadzorcze.
Przykład

Nie trzeba przeprowadzać oceny skutków przetwarzania np. wtedy, gdy:

  • magazyn dostępny online wysyła do subskrybentów ogólny skrót wiadomości,
  • sklep internetowy wyświetla reklamy części samochodowych do starych samochodów przy użyciu ograniczonego profilowania w oparciu o poprzednie zakupy użytkownika.

Ocenę skutków przetwarzania trzeba będzie prowadzić dla operacji, które zaczną się po rozpoczęciu stosowania ogólnego rozporządzenia, czyli od 25 maja 2018 r. Jeżeli jednak do operacji przetwarzania wprowadzono istotną zmianę, np. zaczęto stosować nową technologię lub zmienił się cel przetwarzania, obowiązek przeprowadzenia oceny skutków może dotyczyć operacji toczących się przed rozpoczęciem stosowania rodo.

Jak w praktyce przeprowadzić ocenę skutków dla ochrony danych

Ocena skutków przetwarzania powinna zawierać:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
  • ocenę ryzyka naruszenia praw lub wolności podmiotów danych,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia.

Ocenę przeprowadza administrator danych. Może się przy tym konsultować z inspektorem ochrony danych lub podmiotem przetwarzającym (jeśli będzie brał on udział w przetwarzaniu). W stosownych przypadkach można skonsultować się z podmiotami danych lub ich przedstawicielami, Grupa Robocza zaleca, aby zrobić to np. poprzez przeprowadzenie badania, przedstawienie pytań przedstawicielom pracowników lub związkom zawodowym, wysłanie kwestionariusza do potencjalnych klientów.

W jakich sytuacjach trzeba skonsultować przetwarzanie danych z organem nadzorczym

Jeżeli ocena skutków wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego zminimalizowania, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Grupa Robocza Art. 29 wyjaśnia, że chodzi tu o sytuacje, kiedy administrator określił ryzyka w ocenie skutków, ale nie znalazł środków, poprzez które mógłby im zaradzić.

Źródło:
  • wytyczne Grupy Roboczej Art. 29 w sprawie przeprowadzania oceny skutków dla ochrony danych oraz określania, kiedy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności podmiotu danych (WP 248, 17/EN).
Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel