Co robi IOD w ocenie skutków

Aby ustalić rolę IOD w ocenie skutków przetwarzania dla ochrony danych, musimy przypomnieć sobie, czym jest ta ocena i w jakich przypadkach należy ją zrealizować. Otóż ocena skutków w odniesieniu do ochrony danych to proces umożliwiający opisanie przetwarzania oraz ocenę jego konieczności i proporcjonalności. Proces ten ma wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych i określenie środków pozwalających zaradzić tym czynnikom ryzyka. W ten sposób opisuje ocenę skutków Grupa Robocza Art. 29 w swych wytycznych.

Dlatego ocena skutków w odniesieniu do ochrony danych stanowi podstawowe narzędzie służące do wykazania, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO (reguła rozliczalności).

RODO nie obliguje do przeprowadzenia oceny skutków ochrony danych każdym procesie przetwarzania. Ocena ta jest obligatoryjna tylko wówczas, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1, 3 i 4 RODO). W szczególności jest to konieczne w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (tj. danych szczególnej kategorii), lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO, lub
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Mogą też mieć miejsce inne operacje przetwarzania „wysokiego ryzyka”, nieuwzględnione w wykazie, ale generujące wysokie ryzyko, co wiąże się z koniecznością przeprowadzenia oceny skutków.

To administrator danych osobowych zgodnie z RODO ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych. Zatem to ADO musi dokonać, czy wprowadzone do tej pory środki ochronne wystarczają do zapewnienia bezpieczeństwa przetwarzania danych osobowych. Natomiast gdy dany rodzaj przetwarzania – szczególnie z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wówczas administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania co do ochrony danych osobowych (art. 35 ust. 1 RODO). Administrator jest odpowiedzialny za zapewnienie przeprowadzenia oceny skutków w odniesieniu do ochrony danych (art. 35 ust. 2 RODO). Przepisy jednoznacznie wskazują, że przeprowadzenie oceny skutków jest obowiązkiem ADO.

Nie oznacza to jednak, że inspektor ochrony danych nie bierze udziału w procesie oceniania? Stwierdzenie takie byłoby błędne. Wprawdzie inspektor ochrony danych nie przeprowadza oceny skutków, ale do jego kompetencji należy monitorowanie prawidłowości jej przeprowadzenia i kontrola zgodności oceny z prawem (art. 39 ust. 1 lit. c RODO).

Odpowiada temu  obowiązek administratora danych osobowych, który, dokonując oceny skutków w odniesieniu do ochrony danych, ma obowiązek konsultowania się z inspektorem ochrony danych, jeżeli został on wyznaczony w danej jednostce (art. 35 ust. 2 RODO). Na inspektora ochrony danych nałożono natomiast obowiązki udzielania na żądanie administratora danych zaleceń co do oceny skutków w stosunku do ochrony danych oraz monitorowania jej wykonania zgodnie z przepisami prawa (art. 39 ust. 1 lit. c RODO).

Co więcej, inspektor ochrony danych pełni istotną rolę na etapie konsultacji. Wszak jeżeli ocena skutków co do ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator powinien skonsultować się z organem nadzorczym. A punktem kontaktowym pomiędzy administratorem a Prezesem Urzędu Ochrony Danych Osobowych pełni właśnie inspektor ochrony danych. Zatem to IOD będzie występował w procedurze uprzednich konsultacji w imieniu i na rzecz administratora danych.

Jak powinna wyglądać współpraca pomiędzy administratorem a inspektorem ochrony danych, na gruncie oceny skutków dla ochrony danych. Przepisy RODO są w tej kwestii dość lakoniczne. Warto w związku z tym sięgnąć do wytycznych Grupy Roboczej Art. 29. Grupa Robocza wyjaśnia, jaka jest rola inspektora ochrony danych w procesie dokonywania oceny skutków. Na tej podstawia można ustalić precyzyjny podział obowiązków pomiędzy administratorem a inspektorem, z domniemaniem kompetencji administratora. Czynności, których nie przypisano bowiem inspektorowi ochrony danych, wykonywać będzie administrator.

Jak wynika z wytycznych Grupy Roboczej Art. 29, administrator lub podmiot przetwarzający powinni zasięgnąć porady inspektora ochrony danych między innymi w następujących kwestiach:

• czy należy przeprowadzić ocenę skutków co do ochrony danych – jeżeli nie przeprowadzono oceny, administrator powinien uzasadnić i udokumentować powody, dla których jej zaniechano, oraz załączyć lub zapisać poglądy inspektora ochrony danych w tym zakresie. Opinia inspektora ochrony danych nie jest dla administratora wiążąca, jednakże za nieprzeprowadzenie oceny, w przypadku gdy jest ona wymagana, odpowiedzialność poniesie administrator danych;
• jaką metodologię należy przyjąć przy przeprowadzeniu oceny skutków w odniesieniu do ochrony danych;
• czy należy przeprowadzić wewnętrzną ocenę skutków co do ochrony danych, czy też zlecić ją podmiotowi zewnętrznemu;
• jakie zabezpieczenia (w tym środki techniczne i organizacyjne) mają zastosowanie w celu złagodzenia wszelkich zagrożeń dla praw i interesów osób, których dane dotyczą;
• czy ocena skutków została prawidłowo przeprowadzona oraz czy jej wyniki są zgodne z wymogami ochrony danych (czy należy kontynuować przetwarzanie, czy też nie oraz jakie zabezpieczenia należy zastosować).

Wyniki i ustalenia z konsultacji z IOD oraz podjęte decyzje należy udokumentować w ramach oceny skutków w stosunku do ochrony danych.

Konkretyzując, inspektor ochrony danych powinien monitorować czy zgodnie z wytycznymi Grupy Roboczej art. 29 w procesie przeprowadzania oceny skutków co do ochrony danych:

1)     zapewniono systematyczny opis operacji przetwarzania:

• uwzględniono charakter, zakres, kontekst i cele przetwarzania,
• w rejestrze zamieszczono dane osobowe, informacje o odbiorcach i okresie przechowywania danych osobowych,
• zidentyfikowano zasoby, z którymi styczność mają dane osobowe (sprzęt komputerowy, oprogramowanie, sieci, osoby, opracowania lub kanały transmisji opracowań);

2)     oceniono niezbędność oraz proporcjonalność przetwarzania danych:

• wskazano środki, których podjęcie jest planowane w celu zapewnienia przestrzegania rozporządzenia,
• wskazano środki przyczyniające się do zachowania praw osób, których dane dotyczą (poinformowanie osoby, której dane dotyczą; prawo dostępu i prawo do przenoszenia danych; prawo do sprostowania i do usunięcia danych; prawo do sprzeciwu i prawo do ograniczenia przetwarzania; relacje z podmiotem przetwarzającym; zabezpieczenia przy międzynarodowym przekazywaniu danych);

3)     przeprowadzono działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą:

• uwzględniono źródło, charakter, specyfikę i powagę ryzyka,
• uwzględniono źródła ryzyka,
• zidentyfikowano możliwe skutki ryzyka,
• zidentyfikowano zagrożenia dla bezpieczeństwa danych osobowych,
• oszacowano prawdopodobieństwo i powagę ryzyka,
• określono środki, których podjęcie jest planowane w celu zaradzenia ryzyku;

4)     zaangażowano zainteresowane strony, czyli w stosownych przypadkach zasięgnięto opinii osób, których dane dotyczą, lub ich przedstawicieli.

W tym zakresie powinien on formułować zalecenia.