Masz sklep internetowy? Sprawdź, jak ocenić skutki dla ochrony danych

Ocena skutków dla ochrony danych jest podstawowym narzędziem służącym do wykonania obowiązków wynikających z reguły rozliczalności (art. 5 RODO). Dzięki przeprowadzonej ocenie administrator będzie mógł wykazać, że spełnia wymogi określone w RODO, w szczególności, że podejmuje odpowiednie środki w celu zapewnienia przestrzegania przepisów rozporządzenia.

Ocena skutków jest dokonywana przed rozpoczęciem operacji przetwarzania w danym zakresie, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO). Dlatego w pierwszej kolejności administrator prowadzący sklep internetowy powinien dokonać analizy, przedmiotem której będzie ustalenie, czy dotychczas stosowane środki ochrony danych wystarczają do zapewnienia bezpieczeństwa ich przetwarzania.

Punkt ten oczywiście pomijamy, jeżeli rozważamy inicjację nowych procesów przetwarzania.

Zobacz także: Dowiedz się, na jakiej podstawie przetwarzać dane osobowe, prowadząc sklep internetowy

Następnie powinniśmy rozważyć czy ocena skutków dla ochrony danych jest konieczna w świetle specyfiki procesów przetwarzania. Kluczowa jest tu regulacja art. 35 ust. 3 RODO, zgodnie z którą dokonanie oceny skutków dla ochrony danych jest konieczne w szczególności:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (zobacz przykład 1);
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO (zobacz przykład 2), lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO

Zobacz także:

• Duża skala przetwarzania danych – co to znaczy i dlaczego jest takie istotne
• Monitorowanie danych na dużą skalę a ocena skutków dla ochrony danych

Oczywiście przepis art. 35 ust. 3 RODO został sformułowany dość ogólnie, przez co może stwarzać wątpliwości interpretacyjne. W związku z tym warto sięgnąć do wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków co do ochrony danych (publikowanego corocznie w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych).

Zobacz także: Znamy nowy wykaz operacji przetwarzania wymagających oceny skutków

Jeżeli administrator upewni się co do konieczności przeprowadzenia oceny skutków, wówczas powinien podjąć następujące działania:

• ocenić, czy dane operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania (zobacz przykład 3);
• ocenić ryzyko naruszenia praw lub wolności podmiotów danych, w związku z procesami przetwarzania danych osobowych – czyli czy określone operacje na danych osobowych generują ryzyko dla osób, których dane dotyczą, jakie jest prawdopodobieństwo wystąpienia takiego ryzyka, oraz jakie negatywne konsekwencje dla tych osób może spowodować ziszczenie się zidentyfikowanego ryzyka (zobacz przykład 4).

To jednak nie wszystko. Na tym etapie ocenę należy dokonać uzupełnienia oceny o:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora – chodzi tu o dokładny opis dokonywanych w sklepie internetowym operacji przetwarzania danych osobowych;
• ujęcie środków planowanych w celu zaradzenia ryzyku, w tym zabezpieczeń oraz środków i mechanizmów bezpieczeństwa mających zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których dany proces dotyczy (zobacz przykład 5).

Zobacz także: IOD dla sklepu internetowego – obowiązkowy czy fakultatywny?

W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków w stosunku do ochrony danych (art. 35 ust. 11 RODO). Jednorazowa ocena skutków może zatem okazać się niewystarczająca. Wszak każda zmiana w zakresie przetwarzania danych osobowych obliguje administratora do przeanalizowania, czy zmiany w zakresie przetwarzanych danych osobowych wiążą się z dużym prawdopodobieństwem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Jeśli zaś administrator stwierdzi takie prawdopodobieństwo, wówczas należy dokonać przeglądu dokonanej uprzednio oceny skutków. Innymi słowy należy zweryfikować, czy przetwarzanie dodatkowych kategorii danych osobowych w nowych procesach spełni wymagania oceny skutków co do ochrony danych (zobacz przykład 6).

Aktualizacja oceny może okazać się konieczna także wówczas, gdy administrator stwierdzi wystąpienie naruszenia ochrony danych. W następstwie każdego takiego naruszenia administrator powinien bowiem zweryfikować domyślny system ochrony danych oraz przedsięwziąć dodatkowe środki mające na celu minimalizację ryzyka wystąpienia tego typu naruszeń w przyszłości.

… aby zadbać o bezpieczeństwo przetwarzania danych w sklepie internetowym, wykonaj następujące kroki:

1. Dokonaj analizy w celu uwzględnienia ochrony danych w fazie projektowania i ustalenia domyślnej ochrony danych.
2. Jeżeli uznasz, że dany sposób przetwarzania danych z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności podmiotów danych,

• skonsultuj się z IOD,
• przeprowadź ocenę skutków dla ochrony danych.

3. Jeżeli ocena, o której mowa w kroku 2. potwierdzi możliwość wystąpienia wysokiego ryzyka (gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka), przeprowadź konsultacje z Prezesem Urzędu Ochrony Danych Osobowych.
4. Wprowadź ustalone środki ochrony danych osobowych.
5. Rozpocznij przetwarzanie danych osobowych w zbadanym zakresie.
6. W razie planowanej zmiany w operacjach przetwarzania danych lub wystąpienia incydentu, przeprowadź ponownie cały proces.

Wprowadzenie ustalonych środków ochrony danych osobowych jest możliwe nie wcześniej, niż po:

• przeprowadzeniu analizy w celu uwzględnienia ochrony danych w fazie projektowania i ustalenia domyślnej ochrony danych i uznaniu, że nie jest konieczne dokonanie oceny skutków co do ochrony danych,
• dokonaniu oceny skutków dla ochrony danych i ustaleniu, że nie jest konieczne przeprowadzanie procedury uprzednich konsultacji,
• akceptacji albo uzgodnieniu środków ochrony danych osobowych w wyniku uprzednich konsultacji – jeżeli były one prowadzone.