DPIA – męczący obowiązek czy odpowiedzialne podejście do zapewnienia bezpieczeństwa danych?

Dodano: 13 października 2020
1054947649adcc34df3a5ebd18e018650e7762fd-xlarge

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Analiza ryzyka a ocena skutków dla ochrony danych

RODO nie definiuje pojęcia ryzyka, a także nie wskazuje wprost, w jaki sposób należy przeprowadzać analizę ryzyka. Wiadomo jedynie, że ma ona uwzględniać charakter, zakres, kontekst i cele przetwarzania danych, jak również ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, jakie wynika z przetwarzania. Tym samym zadaniem administratora jest samodzielne dobranie odpowiednich narzędzi i metod, które pozwolą mu na ustalenie, czy w jego organizacji przetwarzanie danych osobowych stwarza ryzyko dla praw i wolności osób fizycznych, jaki jest poziom tego ryzyka i w jaki sposób jest ono zabezpieczone lub może zostać zminimalizowane.

Z analizą ryzyka ściśle wiąże się pojęcie oceny skutków dla ochrony danych (ang. data protection impact assessment), o którym mowa w art. 35 RODO. Ocena skutków ma charakter następczy wobec głównej analizy ryzyka. Jeżeli wyniki analizy przeprowadzonej z uwzględnieniem charakteru, zakresu kontekstu i celów, wykazują, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ocena skutków dla ochrony danych staje się obowiązkowa. Jak wynika z wytycznych Grupy Roboczej art. 29, ocenę skutków należy rozumieć jako proces, który opisuje przetwarzanie, a jednocześnie ocenia jego niezbędność i proporcjonalność. Efektem oceny ma być uzyskanie pomocy w zarządzaniu ryzykiem i dobranie środków, które pomogą temu ryzyku zaradzić (Wytyczne Grupy Roboczej art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679). Jeżeli w rezultacie przeprowadzenia oceny okaże się, że przetwarzanie powodowałoby wysokie ryzyko, administrator powinien rozważyć, czy planowane przetwarzanie danych jest celowe i czy jest gotowy podjąć tego rodzaju ryzyko. Ponadto, w myśl art. 36 RODO, wówczas jego obowiązkiem jest również skonsultowanie się z organem nadzorczym.

Kiedy przeprowadzenie oceny jest obowiązkowe

Jak wspomniano, ocena skutków dla ochrony danych jest obowiązkowa, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. RODO nie wyjaśnia jednak, kiedy ryzyko jest wysokie, pozostawiając decyzję w tym względzie administratorowi, co niejednokrotnie może sprawiać trudności.

Uwaga

W art. 35 ust. 3 RODO unijny prawodawca udzielił jednak administratorom pewnych wskazówek, tworząc katalog sytuacji, gdy ocena skutków jest obligatoryjna. Są to następujące przypadki:

  • dokonywanie systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych;
  • dokonywanie systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Warto pamiętać, że powyższy katalog ma charakter otwarty, a zatem również innego rodzaju przetwarzanie może wymagać przeprowadzenia oceny skutków dla ochrony danych. Co więcej, w każdym państwie członkowskim organy nadzorcze mogą ustanawiać wykaz rodzajów operacji przetwarzania, które podlegają wymogowi dokonania oceny skutków. Taki wykaz został stworzony przez Prezesa Urzędu Ochrony Danych Osobowych. Można w nim znaleźć m.in. następujące operacje: przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, przetwarzanie danych genetycznych, jak również ewaluacja lub ocena, w tym profilowanie i przewidywane (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony opublikowany w Monitorze Polskim 2019 r., poz. 666).

Tym samym, podejmując decyzję, czy ocena skutków dla ochrony danych jest w danym przypadku obowiązkowa, należy każdorazowo sprawdzić, czy operacja na danych nie została uwzględniona przez organ nadzorczy jako czynność, która obowiązkowo wymaga przeprowadzenia oceny skutków.

Procedura przeprowadzenia oceny

Ocenę skutków dla ochrony danych należy przeprowadzić jeszcze przed rozpoczęciem przetwarzania. A zatem, zarówno analiza ryzyka, jak i ocena skutków to procedury, które powinny zostać zrealizowane na początku planowanego przedsięwzięcia, jeszcze przed wcieleniem go w życie.

Jest to również związane z zasadami privacy by desing oraz privacy by default. Wdrażając w organizacji jakikolwiek nowy projekt, który będzie wymagał przetwarzania danych osobowych, należy mieć na uwadze zapewnienie bezpieczeństwa danych, czemu ma służyć właśnie analiza ryzyka oraz ocena skutków dla ochrony danych.

RODO nie zawiera dokładnych wytycznych co do sposobu, w jaki ocena powinna być dokonana. Administrator może więc skorzystać w tym zakresie z pewnego rodzaju swobody decyzyjnej co do metody przeprowadzenia oceny. Przykładowo, może wybrać dostępne na rynku narzędzia wykonujące ocenę skutków dla ochrony danych w sposób zautomatyzowany, oparty na precyzyjnych algorytmach, np. GDPR Risk Tracker. Ocenę można również przeprowadzić w sposób ręczny, np. poprzez opisanie przetwarzania, wymienienie możliwych zagrożeń oraz ustalenie metod, jakimi ryzyka wynikające z tych zagrożeń są lub mogą być redukowane.

Uwaga

Niezależnie od wybranej metody, należy pamiętać, że ocena powinna zawierać wymagane przez przepisy RODO elementy, a są one następujące:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie - prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Jeżeli administrator wyznaczył inspektora ochrony danych, ocena powinna zostać przeprowadzona w porozumieniu z nim. Jeżeli zachodzi taka potrzeba, administrator może również zasięgnąć opinii osób, których dane dotyczą lub ich przedstawicieli. RODO nie nakłada wprawdzie obowiązku dokumentowania oceny skutków dla ochrony danych, ale należy ocenić to jako dobrą praktykę, zwłaszcza gdy weźmiemy pod uwagę wiążącą administratora zasadę rozliczalności. Tylko dzięki udokumentowaniu przeprowadzenia oceny, chociażby w formie elektronicznej, administrator będzie w stanie wykazać, że dokonał oceny i że miała ona charakter rzetelny i zgodny z wymogami RODO.

Uwaga

Pobierz raport z DPIA

Nieprzeprowadzenie oceny może wiązać się z nałożeniem kary

Przyznany administratorom duży zakres swobody co do wyboru metody analizy ryzyka i oceny skutków dla ochrony danych, może stwarzać niemałe trudności. W przypadku wadliwej lub nierzetelnej oceny ryzyka, odpowiedzialność za wszelkie nieprawidłowości, w tym za naruszenia bezpieczeństwa danych, spocznie na administratorze. Jak wiadomo, może być ona bardzo surowa.

Uwaga

Naruszenie obowiązku przeprowadzenia oceny skutków dla ochrony danych podlega administracyjnej karze pieniężnej w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Ocena skutków dla ochrony powinna być traktowana przez administratorów jako wyraz odpowiedzialności za bezpieczeństwo danych przetwarzanych w organizacji oraz dowód na to, że podchodzą do ochrony danych na poważnie. Przeprowadzanie rzetelnej oceny może pomóc nie tylko w uniknięciu kary pieniężnej, lecz także we wczesnym wykryciu ryzyk związanych z przetwarzaniem i dobraniu środków, które umożliwią ich zminimalizowanie, a w konsekwencji także uniknięcie naruszeń.

Autor:

Karolina Przybysz

 

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x