produkty

Intelektualna.pl

Powrót

Artykuł
29 06.2017
Artykuł
29.06.17

Ocena skutków operacji przetwarzania dla ochrony danych osobowych zgodnie z RODO – co trzeba wiedzieć?

przez Julia Lewandowska

Tzw. ogólne rozporządzenie o ochronie danych – RODO nakłada na administratorów danych obowiązek dokonywania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Co to znaczy dla administratora? Czy zawsze musi dokonywać takiej oceny?

W związku z postępującą informatyzacją i stałym rozwojem nowych technologii powstała potrzeba stworzenia nowych rozwiązań, które skuteczniej regulowałyby ochronę danych osobowych. Szczególnie w przypadku przetwarzania danych z użyciem nowych technologii, które bez zachowania odpowiednich zabezpieczeń, może powodować poważne naruszenia praw lub wolności jednostki. Jedynym z takich rozwiązań jest obowiązek przeprowadzenia oceny skutków przetwarzania danych osobowych (ang. Data Protection Impact Assessment - DPIA), który wprowadza RODO[1].

  1. Kiedy należy przeprowadzić ocenę skutków planowanych operacji przetwarzania?

Przede wszystkim, należy pamiętać o tym, że konieczność przeprowadzenia oceny skutków przetwarzania stosuje się do nowych operacji przetwarzania danych, tj. takich które zaczną być wykorzystywane przez administratora po 25 maja 2018 r.(czyli od dnia, w którym RODO zacznie być stosowane). Jeżeli jednak w stosunku do operacji przetwarzania danych, która została wdrożona przed 25 maja 2018 r., wystąpi znacząca zmiana w sposobie przeprowadzania operacji (np. zmienią się wykorzystywane dane, źródła ryzyka, zagrożenia itd.) to administrator będzie obowiązany do przeprowadzenia oceny skutków dla ochrony danych.

  1. Dla jakich operacji przetwarzania wymagane jest przeprowadzenie oceny skutków?

Obowiązek ten nałożony jest na administratorów danych w sytuacjach, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Administrator w takim wypadku musi, przed rozpoczęciem przetwarzania, dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO).

Zgodnie z RODO ocena skutków wymagana jest w szczególności w przypadku:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych (m.in.: ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane dotyczące zdrowia) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Powyższy katalog nie jest jednak zamknięty – zatem jeśli inny rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator obowiązany jest przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Zgodnie z RODO organ nadzorczy, w Polsce – Prezes Urzędu Ochrony Danych Osobowych (tak zgodnie z projektem ustawy nazywać się ma polski organ nadzorczy), ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania, które podlegają wymogowi dokonania oceny skutków dla ochrony danych. Wykaz ten naświetli administratorom jakie rodzaje operacji, w ocenie polskiego organu nadzorczego, powinny podlegać obowiązkowej ocenie skutków dla ochrony danych.

Grupa Robocza Art. 29 (GR 29) w projekcie Wytycznych w zakresie oceny skutków dla ochrony danych osobowych, przyjętych dnia 4.04.2017 r.[2] wskazuje, że ustalając rodzaje operacji przetwarzania danych, które podlegają obowiązkowi dokonania oceny skutków dla ochrony danych, należy wziąć pod uwagę następujące kryteria:

  • ocenę lub ewaluację – w tym profilowanie i przewidywanie, w szczególności aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań (np. bank sprawdzający swoich klientów w bazie kredytowej),
  • zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub podobnie istotne skutki – przetwarzanie mogące prowadzić do wyłączenia lub dyskryminacji osób,
  • systematyczny monitoring, włączając w to monitoring miejsc publicznych – sytuacje, w których dane osobowe mogą być zbierane w okolicznościach, gdy osoby, których dane dotyczą, mogą nie być świadome tego, kto zbiera ich dane i w jaki sposób będą one wykorzystane,
  • dane wrażliwe – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne i biometryczne,
  • przetwarzanie danych na dużą skalę – należy wziąć pod uwagę liczbę osób, których dane dotyczą; zakres przetwarzania; okres, przez jaki dane są przetwarzane; zakres geograficzny przetwarzania,
  • dane podlegające porównywaniu lub połączeniu - pochodzące z dwóch lub większej liczby operacji, które przeprowadzane były w rożnych celach i/lub przez różnych administratorów w taki sposób, który wykracza poza racjonalne oczekiwania osoby, której dane dotyczą,
  • dane dotyczące osób wymagających szczególnej opieki – w tym przypadku występuje zwiększony brak równowagi sił między osobą, której dane dotyczą, a administratorem danych, co sprawia, że osoba ta może nie być w stanie wyrazić zgody na przetwarzanie jej danych bądź mu się sprzeciwić,
  • przetwarzanie z wykorzystaniem innowacyjnych rozwiązań technicznych lub organizacyjnych – wykorzystanie nowej technologii może obejmować nowoczesne formy zbierania i wykorzystywania danych, które potencjalnie mogą wywołać wysokie ryzyko naruszenia praw lub wolności osób fizycznych (np. połączenie wykorzystania odcisków palców i rozpoznawania twarzy do usprawnienia fizycznej kontroli dostępu),
  • transfer danych poza granice UE – należy wziąć pod uwagę m.in. przewidywany kraj lub kraje przeznaczenia, a także możliwość dalszego przekazywania,
  • sytuację, gdy przetwarzanie samo w sobie utrudnia podmiotom danych wykonywanie przysługujących im praw lub korzystanie z usługi lub z umowy – dotyczą przetwarzania w miejscu publicznym lub przetwarzania, którego celem jest umożliwienie, zmiana lub odmowa dostępu osób, których dane dotyczą, do usługi lub zawarcia umowy (np. bank sprawdzający swoich klientów w bazie informacji kredytowej, aby podjąć decyzję o zaproponowaniu im pożyczki).

Zgodnie z wytycznymi GR 29 – im więcej powyższych kryteriów zostanie spełnionych, tym większe prawdopodobieństwo wystąpienia wysokiego ryzyka naruszeń. Co do zasady, jeżeli operacja przetwarzania spełnia dwa kryteria (lub więcej), wymagane jest przeprowadzenie oceny skutków przetwarzania.

  1. Kto i na jakim etapie powinien przeprowadzić ocenę skutków przetwarzania danych?

Zgodnie z zaleceniami GR 29 ocena skutków powinna zostać przeprowadzona przed przystąpieniem do przetwarzania danych, czyli już na etapie projektowania tego przetwarzania. Zatem, jeśli już dziś przedsiębiorca planuje wdrożyć po 25 maja 2018 r. nową operację przetwarzania danych bądź operację, z której korzysta już dziś istotnie zmienić – np. poprzez wykorzystanie nowych technologii, nowego sytemu, nowej aplikacji – powinien już dzisiaj brać pod uwagę, że operacja ta będzie wymagała przeprowadzenia oceny skutków przetwarzania. Biorąc pod uwagę, że wynik oceny skutków przetwarzania może wiązać się z koniecznością przeprowadzenia konsultacji z organem nadzorczym warto już dzisiaj, na etapie projektowania nowych operacji bądź istotnych zmian stosowanych operacji, przeprowadzić ocenę skutków. Pozwoli to na stwierdzenie czy po 25 maja 2018 r. operacja będzie mogła być wdrożona przez przedsiębiorcę, czy obligatoryjne konsultacje z organem nadzorczym wstrzymają wdrożenie.

Ocena może zostać przeprowadzona przez administratora danych. Istnieje także możliwość zlecenia wykonania takiej oceny pracownikowi, a także podmiotowi zewnętrznemu (np. wyspecjalizowanemu przedsiębiorcy). Dodatkowo, jeśli administrator powołał inspektora ochrony danych, to powinien z nim skonsultować ocenę skutków dla ochrony danych.

  1. Co powinna zawierać ocena skutków?

Przeprowadzona ocena musi zawierać co najmniej:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, a jeżeli ma to zastosowanie – opis prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocenę naruszenia praw lub wolności osób, których dotyczą przetwarzane dane;
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których dotyczy sprawa.

 

  1. Jakie mogą być skutki przeprowadzonej oceny?

Po przeprowadzeniu oceny skutków przetwarzania może okazać się, że istnieje możliwość zminimalizowania ryzyka poprzez zastosowanie odpowiednich środków, na przykład przechowywanie danych osobowych na komputerach przenośnych z odpowiednim technicznymi i organizacyjnymi środkami bezpieczeństwa (szyfrowanie dysku, kontrola dostępu, zarządzanie kluczami, zabezpieczone kopie zapasowe). W takim przypadku przetwarzanie może nastąpić bez konsultacji z organem nadzorczym.

Jeżeli jednak nie istnieje możliwość zminimalizowania zidentyfikowanego w ramach oceny ryzyka, przed rozpoczęciem przetwarzania administrator zobowiązany jest do skonsultowania się z organem nadzorczym. W ramach takiej konsultacji administrator musi przedstawić mu, zgodnie z art. 36 ust. 3 RODO:

  • odpowiednie obowiązki administratora, współadministratorów oraz podmiotów przetwarzających, które uczestniczą w przetwarzaniu (jeżeli ma to zastosowanie),
  • cele i sposoby zamierzonego przetwarzania,
  • środki i zabezpieczenia mające chronić prawa i wolności osób, których dane dotyczą,
  • dane kontaktowe inspektora ochrony danych (jeżeli ma to zastosowanie),
  • ocenę skutków dla ochrony danych,
  • wszelkie inne informacje, których żąda organ nadzorczy.

Po przeprowadzonych konsultacjach, w zależności od ich wyniku, organ nadzorczy może przystąpić do różnego rodzaju czynności następczych, między innymi:

  • nakazać administratorowi lub podmiotowi przetwarzającemu dostosowanie operacji przetwarzania do przepisów rozporządzenia (w stosownych przypadkach – wraz z wskazaniem sposobu i terminu),
  • wprowadzić czasowe lub całkowite ograniczenie przetwarzania, w tym zakaz przetwarzania,
  • udzielić stosownych porad administratorowi,
  • wydać zezwolenie na przetwarzanie, jeżeli państwo członkowskie jego wymaga.

Należy zwrócić uwagę na fakt, że termin rozpoczęcia stosowania przepisów RODO to 25 maja 2018 r., jednakże już teraz administratorzy powinni zapoznać się z RODO oraz wytycznymi GR 29, celem lepszego przygotowania swojej działalności do gruntownych zmian w zakresie ochrony danych osobowych.

___________________________________________________________

[1] pełna treść rozporządzenia - http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&from=PL

[2] pełna treść wytycznych do pobrania ze strony GIODO - http://giodo.gov.pl/1520281/id_art/9957/j/pl

Branża:

Dane osobowe

Powrót

Komentarze (0)




Dozwolone znaczniki: <b><i><br>