Ocena skutków przetwarzania dla ochrony danych w 8 krokach

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 29 maja 2017
Ocena skutków przetwarzania dla ochrony danych w 8 krokach

Przeprowadzanie oceny skutków dla ochrony danych jest nowym obowiązkiem, który ciąży na administratorze danych. Administrator będzie zobligowany do przeprowadzenia oceny w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Sprawdź, jak zrealizować ten obowiązek zgodnie z wytycznymi Grupy Roboczej Ar. 29.

Ocena skutków dla ochrony danych nie jest wymagana w każdym przypadku. Administrator powinien podjąć decyzję, czy taka ocena jest konieczna dla procesów przetwarzania danych w obszarze jego działania. Taka decyzja może być trudna, ponieważ nie ma gwarancji, że dana operacja spowoduje wysokie ryzyko naruszenia ochrony danych. Grupa Robocza Art. 29 w swoich wytycznych zaleca jednak, aby w przypadku wątpliwości przeprowadzić ocenę skutków, pozwoli ona bowiem zweryfikować poziom bezpieczeństwa danych i zastosować odpowiednie środki prewencyjne.

Operacje przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w szczególności dotyczą przypadków wprowadzania nowych technologii przetwarzania danych takich jak np. przetwarzanie danych on-line. Podobnie w przypadku każdej istotnej zmiany w procesie przetwarzania danych – np. transferu danych do państwa trzeciego lub powierzenia danych do przetwarzania w chmurze obliczeniowej – trzeba będzie przeprowadzić ocenę skutków. Taki obowiązek pojawi się także, gdy operacje przetwarzania danych stały się niezbędne z uwagi na upływ czasu od momentu pierwotnego przetwarzania, np. w związku ze zmianą technologii przechowywania lub wdrożenia nowej aplikacji do ich przetwarzania.

Kiedy ryzyko naruszenia praw i wolności będzie wysokie

Wysokie ryzyko naruszenia praw lub wolności osób fizycznych zachodzi w szczególności, gdy dochodzi do (art. 35 ust. 3 ogólnego rozporządzenia):

1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,

2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 ogólnego rozporządzenia, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa,

3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Kto nie będzie musiał przeprowadzać oceny skutków

Obowiązek przeprowadzenia oceny skutków dla ochrony danych nie zachodzi, jeżeli:

1) przetwarzanie z dużym prawdopodobieństwem nie spowoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych,

2) dana operacja lub zestaw operacji jest niezbędna do wypełnienia obowiązku prawnego ciążącego na administratorze,

3) dana operacja lub zestaw operacji jest niezbędna do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi i ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator,

4) przetwarzanie uwzględnione jest w opcjonalnym wykazie operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków (ustanowionym przez organ nadzorczy).

Kiedy trzeba przeprowadzić ocenę skutków

Ocenę skutków przetwarzania należy przeprowadzić zawsze przed rozpoczęciem przetwarzania, tak wcześnie, jak jest to możliwe już w fazie planowania operacji przetwarzania danych. Ocena powinna być powtarzana cyklicznie, ponieważ zarówno ryzyka, jak i zagrożenia mogą ulec zmianie, a zastosowane środki ochrony danych – techniczne i organizacyjne – mogą okazać się już niewystarczające. W niektórych przypadkach ocena skutków powinna być realizowana nieprzerwanie.

Uwaga

Jeśli operacja przetwarzania danych osobowych podlega nieustannym zmianom z uwagi na stale rozwijany system informatyczny służący do przetwarzania tych danych, ocenę skutków przetwarzania należy realizować nieprzerwanie.

Administrator danych może samodzielnie przeprowadzić ocenę skutków przetwarzania lub powierzyć to zadanie innej osobie. Musi jednak pamiętać, że zgodnie z ogólnym rozporządzeniem o ochronie danych to on, jako administrator, ponosi odpowiedzialność za przeprowadzenie oceny skutków przetwarzania. Wszystkie osoby zaangażowane w przeprowadzenie oceny skutków przetwarzania powinny mieć jasno wyznaczone obowiązki i zadania w tym zakresie, tak aby sprawnie ją przeprowadzić.

Jeśli u administratora funkcjonują zatwierdzone kodeksy postępowania, o których mowa w ogólnym rozporządzeniu o ochronie danych, to podczas przeprowadzania oceny skutków przetwarzania trzeba uwzględnić zgodność z zatwierdzonymi kodeksami postępowania.

1. Opracuj wykaz rodzajów operacji przetwarzania, które podlegają wymogowi oceny skutków

W pierwszej kolejności należy opracować wykaz rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. Wykaz powinien być dostosowany do potrzeb danej jednostki organizacyjnej oraz powinien być prowadzony systematycznie. W tym celu można wyznaczyć osobę odpowiedzialną za te czynności.

Opracowany wykaz musi być zgodny z wykazem rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków, opublikowanym przez organ nadzorczy. Zgodnie z art. 35 ust. 4 ogólnego rozporządzenia jest on do tego zobligowany. Opis planowanych operacji przetwarzania danych powinien w szczególności uwzględniać:

  • charakter, zakres, kontekst i cele przetwarzania danych osobowych,
  • informacje o odbiorcach oraz okres przechowywania,
  • opis przebiegu operacji przetwarzania danych,
  • systemy informatyczne, dokumenty papierowe oraz inne nośniki, na których będą przetwarzane dane,
  • wykaz osób, które mają być upoważnione do dostępu do danych.

2. Przeprowadź ocenę niezbędności i proporcjonalności danych

Kolejny krok to przeprowadzenie oceny niezbędności i proporcjonalności danych, o której mowa w art. 35 ust. 7 lit. b ogólnego rozporządzenia. Należy ustalić, czy cel zebrania danych jest:

  • konkretny, wyraźny i prawnie uzasadniony,
  • zgodny z przepisami prawa,
  • adekwatny do zakresu danych.

Ponadto należy wskazać, czy zebrane dane są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celu, dla którego zostały zebrane. Poza tym trzeba ocenić, czy realizowane są prawa osób, których dane dotyczą, np. udzielanie informacji jej dotyczących, prawo dostępu do jej danych, udzielanie informacji o przekazywaniu, udostępnianiu danych jej dotyczących itp.

3. Wybierz metodę przeprowadzenia oceny skutków

Administrator powinien wybrać metodologię przeprowadzenia oceny skutków dla ochrony danych. Dobrze, jeśli będzie ona uwzględniać podstawowe cele i atrybuty ochrony danych osobowych. W szczególności takie jak:

  • poufność (dane są udostępniane tylko i wyłącznie upoważnionym podmiotom),
  • dostępność (dane muszą być zawsze dostępne dla upoważnionych użytkowników, kiedy jest to niezbędne),
  • integralność (dane nie powinny być zmieniane w sposób nieuprawniony, powinny pozostać nienaruszone, kompletne i aktualne).

Można wziąć także pod uwagę dodatkowe atrybuty ochrony danych takie jak autentyczność (właściwość zapewniająca, że dane osobowe są takie, jak zadeklarowano) i rozliczalność (właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko jemu).

Uwaga

Jeżeli administrator nie chce korzystać z dostępnych metodologii, może opracować i wdrożyć własny proces realizacji oceny skutków, jednak musi on być zgodny z ogólnym rozporządzeniem o ochronie danych.

4. Oszacuj ryzyko

Administrator powinien uwzględnić źródła, charakter, specyfikę i powagę ryzyka w swojej jednostce organizacyjnej. W szczególności powinien wziąć pod uwagę wyżej wymienione atrybuty ochrony danych (poufność, dostępność, integralność). W odniesieniu do każdego ryzyka powinien ustalić, czy zostały uwzględnione źródła tego ryzyka, potencjalne skutki i zagrożenia dla praw lub wolności osób, których dane dotyczą.

5. Ustal, jak zapobiec ryzyku

Kolejna kwestia to określenie środków zaradczych pozwalających uniknąć lub zminimalizować zidentyfikowane ryzyka dla procesów przetwarzania danych. Jeżeli administrator nie zdoła określić wystarczających środków zaradczych, powinien w tym celu skonsultować się z organem nadzorczym.

6. Skonsultuj się z inspektorem ochrony danych

Administrator powinien konsultować się z inspektorem ochrony danych, przeprowadzając ocenę skutków przetwarzania – jeżeli został on wyznaczony. Warto, aby sformalizował udział inspektora ochrony danych w tych czynnościach, np. wprowadzając odpowiednie zapisy do dokumentacji ochrony danych osobowych. W stosownych przypadkach powinien zasięgnąć także opinii osób, których dane dotyczą, w sprawie zamierzonego przetwarzania danych ich dotyczących.

7. Opracuj sprawozdanie z przeprowadzonej oceny

Administrator danych powinien opracować sprawozdanie z oceny skutków dla ochrony danych oraz dostarczyć do właściwego organu nadzorczego, jeśli jest to wymagane.

8. Realizuj okresowe przeglądy

Ostatni etap to poddawanie oceny skutków dla ochrony danych oraz procesów przetwarzania okresowym przeglądom, w szczególności w przypadku zmiany ryzyka związanego z daną operacją przetwarzania.

Ważne:

Prawidłowo przeprowadzona ocena skutków dla ochrony danych może być skutecznym narzędziem dla administratora danych usprawniającym zarządzanie ochroną danych. Dla wielu podmiotów konieczność realizacji takiej oceny będzie wiązała się z kosztami finansowymi m.in. związanymi z zastosowanymi środkami bezpieczeństwa. Jednak jeśli ocena nie zostanie przeprowadzona, gdy jest to wymagane, organ nadzorczy będzie mógł nałożyć na administratora karę pieniężną, dlatego już teraz trzebaś zacząć przygotowywać się do realizacji tego obowiązku.

Podstawa prawna: 
Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel