Zgodnie z obowiązującymi przepisami RODO na administratorze danych ciąży obowiązek oceny skutków przetwarzania danych w każdym przypadku, gdy związane z tym procesem operacje mogą rodzić ryzyko naruszenia praw lub wolności osób fizycznych. Dokładny wykaz takich operacji, dla których wymagana jest ocena, znaleźć można w art. 35 ust.1 ww. rozporządzenia. Poniżej przedstawiamy najważniejsze z nich, a także wyjaśniamy, jak dokonać oceny skutków dla ochrony danych DPIA.
Kiedy konieczna jest ocena skutków przetwarzania danych?
Sprecyzowanie wykazu operacji przetwarzania danych rodzących ryzyko naruszeń powinno być pierwszym etapem DPIA. Warto go sporządzić według wytycznych znajdujących się w komunikacie PUODO z dnia 17 sierpnia 2018 r., który zawiera całą listę sytuacji, kiedy ocena taka jest obowiązkowa. Choć lista ta jest dość długa, w większości przypadków dotyczy następujących kategorii działań:
- profilowanie na podstawie większych zbiorów danych,
- przetwarzanie danych (szczególnie tych wrażliwych) na dużą skalę,
- stosowanie systemów monitorowania czasu pracy pracowników,
- systematyczne monitorowanie przestrzeni publicznej i przebywających w niej osób,
- przetwarzanie danych osób w szczególności narażonych na naruszenie ich praw i wolności, czyli np. dzieci,
- zautomatyzowane przetwarzanie danych z wykorzystaniem nowoczesnych technologii,
- przetwarzanie danych w przypadkach szczególnych, gdy od tego zależy wykonanie usługi (np. udzielenie kredytu klientowi od oceny zdolności kredytowej dokonanej przez bank).
Warto też przypomnieć, co należy rozumieć przez naruszenie praw osób, których dane są przetwarzane. Według oficjalnych wytycznych naruszenia takie mogą dotyczyć:
- poufności danych – gdy dochodzi do udostępnienia danych osobom nieuprawnionym,
- integralności – kiedy następuje nieautoryzowana modyfikacja danych,
- dostępności – wiąże się to ze zniszczeniem danych bądź innym zdarzeniem skutkującym trwałą utratą dostępu do nich.
Procedura oceny skutków dla ochrony danych.
Z zasady ocenę skutków przetwarzania danych należy przeprowadzić przed rozpoczęciem operacji przetwarzania, ponieważ jej celem jest ograniczenie potencjalnego ryzyka naruszeń. Aby prawidłowo ją wykonać, wystarczy pamiętać o kilku niezbędnych etapach, którymi są:
1. Sporządzenie wykazu operacji przetwarzania danych osobowych.
2. Ocena niezbędności oraz proporcjonalności danych – należy tu zastanowić się, czy ich przetwarzanie jest konieczne i prawnie uzasadnione oraz adekwatne do założonego celu.
3. Sformułowanie metodologii oceny przetwarzania danych – chodzi o sprecyzowanie, pod jakim względem oceniać skutki przetwarzania danych, czyli mogą to być takie kwestie jak np. poufność, integralność, czy dostępność.
4. Wytypowanie operacji, które potencjalnie mogą rodzić ryzyko naruszeń. Jest to bardzo ważny punkt oceny DPIA, dlatego powinien zawierać nieco więcej szczegółowych informacji takich jak np.:
- rodzaj ewentualnych naruszeń,
- przyczyny ryzyka (dlaczego dana operacja jest nim obarczona),
- skutki naruszeń w przypadku danej operacji,
- prawdopodobieństwo pojawienia się ryzyka naruszeń i waga potencjalnego zagrożenia.
Analizie należy poddać m.in. miejsce przechowywania i przetwarzania danych, systemy wykorzystywane w tym procesie, czy wreszcie same procedury.
5. Zaproponowanie środków mających na celu zminimalizowanie lub uniknięcie ryzyka związanego z przetwarzaniem danych.
6. Sporządzenie niezbędnej dokumentacji np. sprawozdania z przeprowadzonej oceny i przekazanie jej do organu nadzorczego, jeśli jest to konieczne.
7. Regularne monitorowanie sytuacji pod kątem tego, czy wdrożone środki zapobiegawcze są skuteczne.
Warto pamiętać, że ocenę skutków przetwarzania danych administrator powinien skonsultować z inspektorem danych osobowych, jeśli takowy został powołany w organizacji. Z kolei jeśli w przypadku jakiejś operacji ryzyko pojawienia się naruszeń jest ocenione na wysokie, niezbędny będzie kontakt z Prezesem UODO.
W ocenie skutków dla ochrony danych pomaga specjalny formularz DPIA, który ułatwia przeprowadzenie całej procedury takiej oceny oraz stanowi podstawę jej dokumentacji.
Monika Zygmunt - Jakuć (Inspektor Ochrony Danych)