Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Ocena Skutków dla Ochrony danych według RODO

Dane osobowe 01.08.2017

Ogólne rozporządzenie o ochronie danych osobowych z 27 kwietnia 2016 roku (dalej również: RODO) nakłada na administratorów danych nowy obowiązek zwany oceną skutków dla ochrony danych, czyli PIA (ang. Praivacy Impact Assessment) lub DPIA (ang. Data Protection Impact Assessment). Podstawowym celem takiej analizy będzie zapewnienie zgodności procesów przetwarzania z RODO, identyfikacja ewentualnych zagrożeń oraz ograniczenie naruszeń prywatności.

Należy podkreślić, że unijne rozporządzenie nie wymaga przeprowadzenia PIA dla każdej operacji przetwarzania danych osobowych. Administrator danych będzie miał obowiązek dokonania analizy, w sytuacji gdy planowane przetwarzanie ze względu na swój charakter, zakres, kontekst czy cele może powodować wysokie ryzyko naruszenia „praw lub wolności osób fizycznych”, których dane dotyczą. Ryzyko naruszenia odnosi się przede wszystkim do prawa do prywatności, ale także do prawa do wolności wypowiedzi, swobody poruszania się, zakazu dyskryminacji, swobody myśli, prawa do wolności i swobody przekonań oraz poglądów religijnych.

Zastosowanie mechanizmu PIA będzie konieczne w przypadku spełnienia przynajmniej dwóch z poniżej wskazanych przesłanek:

  • przetwarzanie oparte jest o automatyczną ocenę czynników osobowych odnoszących się do osób fizycznych, w tym profilowanie i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzane są dane osobowe szczególnej kategorii (dane wrażliwe);
  • przetwarzanie uwzględnia systematyczny monitoring na dużą skalę miejsc dostępnych publicznie;
  • przetwarzanie składa łączenie różnych zbiorów danych, np. pozyskanych do różnych celów;
  • przetwarzane mają być dane osób, które mogą mieć trudności z wyrażeniem sprzeciwu np. dzieci czy pracowników podporządkowanych pracodawcy;
  • przetwarzanie zakłada wykorzystanie innowacyjnych technologii czy środków organizacyjnych;
  • operacje przetwarzania mogą utrudniać osobom, których dane dotyczą, wykonywanie przysługujących im praw.

W sytuacji spełnienia tylko jednej przesłanki, zastosowanie PIA będzie możliwe, pod warunkiem, że będzie to uzasadnione okolicznościami danego przypadku.

Ocena skutków przetwarzania nie będzie wymagana. gdy przetwarzanie nie prowadzi do wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą, a (i) zostało już dopuszczone w bardzo podobnym procesie przetwarzania, ma (ii) podstawę prawna w prawie UE lub (iii) prawie państwa członkowskiego. Ponadto, organ nadzorczy (obecnie w Polsce jest to GIODO, którego wraz z początkiem obowiązywania nowych przepisów zastąpi Prezes Urzędu Ochrony Danych Osobowych) będzie mógł ustanowić wykaz rodzajów operacji przetwarzania nie podlegających wymogowi dokonania oceny skutków dla ochrony danych.

Warto również wspomnieć, że PIA może być przeprowadzona dla pojedynczych operacji przetwarzania danych, ale również możliwe, a nawet wskazane jest przeprowadzanie jednej oceny dla kilku podobnych operacji, wiążących się ze zbliżonym ryzykiem dla praw i wolności podmiotów danych. Istotne jest jednak, by ocena została przeprowadzona przed planowanym rozpoczęciem przetwarzania danych.

Dodatkowo, jeżeli wyznaczony został inspektor ochrony danych, administrator danych będzie miał obowiązek przeprowadzenia z nim konsultacji, co wymusi zaangażowanie inspektora w proces przetwarzania danych. W stosownych przypadkach, administrator powinien również zasięgnąć opinii osób, których dane dotyczą lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania. Zasięgnięcie opinii może się przy tym odbywać z wykorzystaniem różnych środków w zależności od kontekstu (np. może polegać na skierowaniu formalnych zapytań skierowanych do przedstawicieli pracowników lub przedstawicieli związków zawodowych czy w formie ankiety skierowanej do potencjalnych klientów administratora). Jeżeli administrator zdecyduje się na inne rozwiązanie niż to wynikające z otrzymanych odpowiedzi, powinien to udokumentować wraz z uzasadnieniem. Podobnie jeżeli administrator nie zdecyduje się na zasięgnięcie opinii osób, których dane dotyczą – powinien to udokumentować. Co również istotne, jeżeli ocena skutków dla ochrony danych, wskazuje, że przetwarzanie spowodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator powinien skonsultować się z organem nadzorczym.

W razie ryzyka wynikającego z operacji przetwarzania, PIA podlega okresowej ocenie i może wymagać uaktualnienia lub w niektórych przypadkach nawet przeprowadzenia od początku. Podczas przeglądu stwierdza czy przetwarzanie odbywa się zgodnie ze wcześniejszą oceną skutków dla ochrony danych.

PIA może zostać wykonana przy użyciu dowolnej metody, w zależności od konkretnego systemu czy projektu, gdyż przepisy rozporządzenia nie zawierają dokładnej instrukcji, jak powinna przebiegać ocena. Wybór metodologii spoczywa na administratorze danych. W RODO wskazane zostały natomiast minimalne elementy oceny skutków dla ochrony danych, do których należą:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów przetwarzania;
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Opisy powinny być przy tym sformułowane w sposób  jasny i klarowny, tak by możliwe było określenie co jest celem przetwarzania danych oraz czy przetwarzanie obywa się zgodnie z zasada proporcjonalności, a więc czy jest faktycznie potrzebne do osiągnięcia wskazanych celów. Ponadto, jeżeli za przetwarzanie danych podlegających ocenie skutków odpowiadają współadministratorzy powinno zostać także jasno określone za jaką część przetwarzania odpowiadają.

Na koniec, chciałabym podkreślić, że co prawda wymóg stosowania oceny skutków dla ochrony danych będzie dotyczył operacji przetwarzania rozpoczętych po 25 maja 2018 r. , a więc od momentu rozpoczęcia obowiązywania ogólnego rozporządzenia o ochronie danych osobowych, jednakże Grupa Robocza Artykułu 29 będąca podmiotem doradczym działający przy Komisji Europejskiej, który składa się z przedstawicieli narodowych organów ochrony danych osobowych, zaleca dokonanie oceny skutków dla operacji przetwarzania rozpoczętych przed lub już trwających we wskazanym dniu, szczególnie jeśli przetwarzanie obejmuje nową technologię lub zmianę w zakresie celu, ryzyka, kontekstu lub źródła przetwarzanych danych.

Podsumowując, ocena skutków dla ochrony danych jest nowym obowiązkiem nałożonym na administratorów danych przez ogólne rozporządzenie o ochronie danych osobowych. Jest to proces oparty na metodach szacowania ryzyka, który ma w zamyśle unijnego ustawodawcy pozwolić podmiotom przetwarzającym dane osobowe zmierzyć poziom prywatności oraz wykazać, że wdrożyli oni odpowiednie środki ochrony danych.