Obowiązek przeprowadzenia DPIA niezależnie od wyników ogólnej oceny ryzyka

Marcin Sarna

Autor: Marcin Sarna

Dodano: 27 sierpnia 2018
Akta osobowe w formie elektronicznej – bardzo ryzykowne
Pytanie:  W procesie przeprowadzania analizy ryzyka na pierwszym etapie jeszcze przed "zbiciem" poziomu ryzyka poprzez zastosowanie adekwatnych zabezpieczeń, okazało się, że poziom ryzyka naruszenia praw lub wolności osób fizycznych jest wysoki dla danego procesu. Czy w związku z tym automatycznie należy przeprowadzić DPIA?
Odpowiedź: 

Niekoniecznie. DPIA nie należy traktować jako procesu następczego po ogólnej ocenie ryzyka.

Przesłanki przeprowadzenia oceny ogólnej …

RODO przewiduje:

  • ogólną ocenę ryzyka przetwarzania danych osobowych; oraz
  • ocenę skutków dla ochrony danych osobowych.

Ogólna ocena ryzyka przetwarzania danych to wymóg, który obejmuje każdego administratora. Jest to ocena czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na ADO ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam ADO musi dokonywać okresowej ogólne oceny ryzyk zagrażających temu przetwarzania. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO ADO musi być w stanie wykazać przestrzeganie przepisów, to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Uwaga

Obowiązek przeprowadzenia ogólnej oceny ryzyka dotyczy wszystkich administratorów danych osobowych, bez względu na ich wielkość czy zakres działalności.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:

  • kontekst dla oceny ryzyka,
  • opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
  • szacowanie i ocena ryzyka,
  • postępowanie z ryzkiem.

… i DPIA

Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 RODO pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

Art. 35 ust. 7 RODO wymaga aby ocena zawierała:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

DPIA niezależnie od ogólnej oceny ryzyka

Obie analizy ryzyka są od siebie niezależne. Nie jest prawidłowym rozumowaniem traktowanie DPIA jako w pewnym sensie „następczej” dla ogólnej oceny ryzyka. Przesłanki dokonania oceny ryzyka z art. 35 RODO należy traktować samodzielnie. Innymi słowy wystąpienie przesłanek przeprowadzenia DPIA nie jest zależne od wyników ogólnej oceny ryzyka przetwarzania danych.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.
Słowa kluczowe:
DPIAocena ryzyka

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x