OCENA SKUTKÓW DLA OCHRONY DANYCH – nowy wymóg RODO

Ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) została określona w art. 35 RODO. Jest to narzędzie rozliczalności danych osobowych, które ma pomóc administratorowi ocenić ryzyko naruszenia praw i wolności osób fizycznych w związku z przetwarzaniem ich danych osobowych. DPIA jest kluczowym, użytecznym elementem przestrzegania RODO, w którym planowane jest przetwarzanie obarczone wysokim ryzkiem.

KARY

Na wstępie warto podkreślić, że niedokonanie oceny skutków dla ochrony danych, gdy jest ono wymagane, bądź jego przeprowadzenie w niewłaściwy sposób, jest zagrożone karą pieniężną 10 mln Euro lub wysokością 2% całkowitego rocznego światowego obrotu.

NA CZYM POLEGA DPIA?

Ocena skutków dla ochrony danych będzie opierała się na systematycznym opisie planowanych operacji przetwarzania i celów przetwarzania danych, następnie dokonywaniu oceny, czy operacje przetwarzania są niezbędne i proporcjonalne do celów. Oceniane również będzie ryzyko naruszenia praw i wolności osób, których dane dotyczą i ostatecznie ustalane wdrożenie środków w celu zaradzenia ryzyku, mające zapewnić ochronę danych osobowych. Ocenę skutków dla ochrony danych będzie przeprowadzać administrator zawsze wtedy, gdy operacje przetwarzania mogą z dużym prawdopodobieństwem wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

Co ciekawe, pojedynczą DPIA będzie można wykorzystać do oceny wielu operacji przetwarzania, które są podobne pod względem ryzyka związanego z tymi operacjami. Przykładowo administrator danych wdrażający nowy produkt może skorzystać przy przygotowywaniu oceny skutków z informacji przygotowanych i dostarczonych przez dostawcę / producenta produktu.

W JAKICH SYTUACJACH DOKONAĆ OCENY SKUTKÓW DLA OCHRONY DANYCH?

  1. Operacja została ujęta w wykazie operacji przyjętym na poziomie krajowym danego państwa członkowskiego. Polski organ nadzorczy ma za zadanie ustanowić, podać do publicznej wiadomości oraz przekazać Europejskiej Radzie Ochrony Danych wykaz rodzajów operacji wymagających DPIA.

  2. Przetwarzanie danych z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia; dla przykładu:

  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (tzw. danych wrażliwych), w tym danych dotyczących komunikacji elektronicznej, lokalizacji, dane finansowe;

  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie;

  • dokonywanie ewaluacji, oceny, profilowania, przewidywania różnych aspektów dotyczących szczególnej sytuacji, preferencji, zachowania, lokalizacji, itp., osoby fizycznej;

  • podejmowanie zautomatyzowanych decyzji, które wywołują skutki prawne;

  • dokonywanie połączenia lub porównania zestawów danych (np. przez różnych administratorów);

  • przetwarzanie danych osób wymagających szczególnej opieki (np. osób chorych psychicznie, ubiegających się o azyl, dzieci, starszych, itp.);

  • wykorzystywanie nowych technologii poprzez innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych (np. połączenie wykorzystywania odcisków palców i obrazu tęczówki oka);

  • transgraniczne przekazywanie danych osobowych poza obszar UE.

KIEDY PRZEPROWADZIĆ?

Ocenę skutków dla ochrony danych będziemy stosować nie tylko do nowych operacji przetwarzania, które będą mieć miejsce po 25 maja przyszłego roku, ale również do tych trwających przed stosowaniem RODO. Zaleca się wykonanie DPIA w momencie wprowadzania nowej technologii, czy zmiany celu przetwarzania, w fazie projektowania oraz domyślnej ochrony danych. W praktyce PRZED rozpoczęciem danej operacji. Jednakże w niektórych przypadkach ocena skutków dla ochrony danych będzie procesem ciągłym, gdy operacja przetwarzania zmienia się dynamicznie i podlega różnym aktualizacjom.

CZYJE TO ZADANIE?

Pełną i ostateczną odpowiedzialność za ocenę ponosi administrator danych. Jeżeli w jednostce będzie wyznaczony DPO (inspektor ochrony danych), zadaniem administratora będzie skonsultowanie z nim oceny skutków dla ochrony danych. Konsultacja taka powinna zostać udokumentowana, a wykonanie DPIA monitorowane przez inspektora. DPO może sugerować dla jakich operacji należy przeprowadzić DPIA oraz pomagać zainteresowanym w zakresie metodologii, dokonywania ewaluacji jakości oceny ryzyka, oceniania czy ryzyko szczątkowe jest dopuszczalne oraz pogłębiać wiedzę w tym zakresie.

POZOSTAŁE OBOWIĄZKI ZWIĄZANE Z DPIA

  1. Zalecenie publikacji DPIA w całości lub w części w celu wykazania rozliczalności
    i przejrzystości przetwarzania danych przez administratora. Opublikowana ocena nie musi zawierać wszystkich szczegółowych informacji, które mogłyby narazić administratora na ujawnienie tajemnicy handlowej, ale powinna się składać chociażby w podsumowania najważniejszych ustaleń. Publikacji można dokonać poprzez zamieszczenie ustaleń na stronie internetowej administratora.

  2. Dostarczenie procedury organowi nadzorczemu w celu wykonania uprzednich konsultacji, w momencie gdy DPIA ujawnia tzw. wysokie ryzyko szczątkowe. Ryzyko jest sytuacją opisującą wydarzenie i jego konsekwencje szacowane pod względem stopnia wagi zdarzenia i prawdopodobieństwa, a DPIA jest w tym przypadku idealnym narzędziem służącym do zarządzania ryzykiem. Ryzyko szczątkowe pozostaje wysokie wtedy, gdy administrator nie może w wystarczającym stopniu zminimalizować zidentyfikowanego ryzyka. W takich okolicznościach niezbędna jest konsultacja DPIA z organem nadzorczym. Ponadto, krajowy ustawodawca może uznać, że ocena będzie obligatoryjnie wymagała konsultacji z organem nadzorczym do celów wykonywania zadania publicznego związanego z ochroną socjalną i zdrowiem publicznym.