Jak udokumentować przeprowadzenie oceny skutków dla ochrony danych

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 26 marca 2018
Jak udokumentować przeprowadzenie oceny skutków dla ochrony danych

Jednym z nowych obowiązków administratora danych zgodnie z RODO będzie przeprowadzenie oceny skutków dla ochrony danych. Dowiedz się, czy przeprowadzenie takiej oceny będzie trzeba udokumentować.

Ocena skutków dla ochrony danych osobowych została uregulowana w art. 35 ogólnego rozporządzenia o ochronie danych (RODO).  Zgodnie z jego treścią, jeżeli dany rodzaj przetwarzania danych osobowych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator przed rozpoczęciem przetwarzania musi dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ustawodawca nie określił, w jaki sposób należy dokumentować przeprowadzenie oceny skutków przetwarzania dla ochrony danych. Nie wskazał też narzędzi (np. metodologii), dzięki którym administrator może jej dokonać.

Ważne:

Administrator powinien być w stanie wykazać, że przeprowadził ocenę skutków planowanych operacji przetwarzania dla ochrony danych, np. na wypadek kontroli prowadzonej przez organ nadzorczy.

Oceny skutków przetwarzania dla ochrony danych nie będzie trzeba przeprowadzać w przypadku każdej operacji przetwarzania. Taka ocena jest wymagana, wyłącznie gdy dany rodzaj przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Ponadto, jeżeli ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby takie wysokie ryzyko, a administrator nie zastosował odpowiednich środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania powinien skonsultować się z organem nadzorczym. Dlatego bardzo istotne jest, aby proces przeprowadzania oceny skutków dla ochrony danych osobowych był odpowiednio dokumentowany na każdym etapie jej realizacji.

Kto przeprowadza ocenę skutków dla ochrony danych

Według Grupy Roboczej Art. 29 ocenę skutków przetwarzania dla ochrony danych może przeprowadzić inny podmiot niż administrator danych. Może to być podmiot bądź osoba z danej jednostki, ale również spoza niej (np. firma doradcza). Ostateczna odpowiedzialność za wykonanie zadania i odpowiednie udokumentowanie oceny skutków dla ochrony danych spoczywa jednak na administratorze danych. Powinien więc opracować i wdrożyć metodykę przeprowadzania oceny skutków dla ochrony danych osobowych dostosowaną do potrzeb jego jednostki organizacyjnej. Kolejny krok to wskazanie osób odpowiedzialnych za jej realizację oraz współpracę z osobą, która musi dokonać takiej oceny. Ważne jest, aby w procesie oceny skutków dla ochrony danych osobowych uczestniczyła cała organizacja, a nie tylko osoba, której zadaniem jest przeprowadzenie oceny.

Uwaga

Administrator podczas wykonywania oceny skutków dla ochrony danych ma obowiązek konsultowania się z inspektorem ochrony danych, jeżeli go wyznaczył (art. 35 ust. 2 RODO). Wyniki takiej konsultacji i podjęte decyzje powinien także udokumentować w ramach oceny skutków dla ochrony danych. Inspektor powinien wyrazić swoją opinię na temat realizacji oceny skutków lub też jej wyników. Jeśli administrator nie będzie zgadzać się ze stanowiskiem inspektora ochrony danych, powinien to uzasadnić.

Jeżeli proces przetwarzania danych osobowych jest całkowicie lub częściowo realizowany przez podmiot przetwarzający dane (procesora), to w takiej sytuacji podmiot przetwarzający powinien wspomóc administratora w przeprowadzeniu oceny skutków dla ochrony danych, m.in. dostarczając wszelkie niezbędne informacje, o które administrator zwróci się do niego (zgodnie z art. 28 ust. 3 lit. f RODO). W takim przypadku proces współpracy z podmiotem przetwarzającym dane osobowe również należy udokumentować.

Jakie elementy muszą znaleźć się w dokumentacji oceny skutków dla ochrony danych

Ogólne rozporządzenie o ochronie danych określa elementy, które powinny znaleźć się w dokumentacji oceny skutków dla ochrony danych. Będą to:

  • opis planowanych operacji przetwarzania i celów przetwarzania, 

  • ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne,

  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku i wykazaniu przestrzegania RODO.
Ważne:

Podczas oceny skutków operacji przetwarzania dla ochrony danych administrator powinien uwzględnić zgodność (art. 35 ust. 8 RODO) z kodeksem postępowania (art. 40 RODO). Może to być przydatne, aby wykazać, że wybrał lub wprowadził odpowiednie środki ochrony danych osobowych, pod warunkiem że kodeks postępowania jest odpowiedni dla operacji przetwarzania. Powinien również uwzględnić certyfikację, znaki jakości oraz oznaczenia mające świadczyć o zgodności operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające (art. 42 RODO) z ogólnym rozporządzeniem o ochronie danych, a także wiążące reguły korporacyjne.

Niezależnie od formy ocena skutków dla ochrony danych musi stanowić rzeczywistą ocenę ryzyka, pozwalając administratorom podjąć działania na rzecz wyeliminowania ryzyka. Zgodnie z art. 35 ust. 9 RODO „w stosownych przypadkach” administrator musi „zasięgnąć opinii osób, których dane dotyczą, lub ich przedstawicieli”. Grupa Robocza Art. 29 uważa, że opinie te można zebrać za pomocą różnych środków w zależności od kontekstu (np. badanie ogólne dotyczące celu i środków operacji przetwarzania, pytanie do przedstawicieli pracowników lub zwykła ankieta wysłana do przyszłych klientów administratora danych). Aby móc przetwarzać wszelkie dane osobowe wykorzystywane podczas zbierania takich opinii, trzeba mieć do tego podstawę prawną.

Jeżeli ostateczna decyzja administratora będzie różniła się od opinii osób, których dane dotyczą, trzeba udokumentować powody podjęcia bądź niepodjęcia tej decyzji. Administrator powinien również przedstawić uzasadnienie, jeżeli nie zasięgnął opinii osób, których dane dotyczą, jeżeli uzna to za niewłaściwe, np. w przypadku gdy stanowiłoby to zagrożenie dla zasad bezpieczeństwa jednostki organizacyjnej.

Inne kwestie, które trzeba udokumentować

Dobrą praktyką jest zdefiniowanie i udokumentowanie innych konkretnych ról i obowiązków, w zależności od wewnętrznych procedur, procesów i zasad, np. w przypadku skorzystania z opinii niezależnych ekspertów reprezentujących różne zawody (prawników, informatyków, ekspertów z zakresu bezpieczeństwa itp.). Ich opinie również należy włączyć do dokumentacji oceny skutków przetwarzania dla ochrony danych. Udokumentowane powinny być także wszelkie sugestie ze strony inspektora ochrony danych w odniesieniu do konkretnej operacji przetwarzania danych osobowych.

Ważne:

Sposób dokumentowania przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych powinien być dostosowany do potrzeb i możliwości administratora. Należy jednak uwzględnić w procesie dokumentowania oceny skutków dla ochrony danych wszystkie niezbędne czynności, będzie to miało bowiem istotne znaczenie dla spełnienia zasady rozliczalności, o której mowa w RODO.

Podstawa prawna: 
Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x