08/06/17
Wymagania te ujęte zostały w obowiązku przeprowadzania oceny skutków przetwarzania dla ochrony danych osobowych, zwanym popularnie PIA (od Privacy Impact Assessment) lub DPIA (od Data Protection Impact Assessment).
Parlament Europejski opisał ocenę skutków w RODO jako „zasadniczy rdzeń każdego zrównoważonego planu ochrony danych”. Wskazał też, że taka ocena, jeśli przeprowadzona w sposób pełny i dokładny, może „fundamentalnie ograniczyć” liczbę wycieków danych i naruszeń prywatności.
Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami (zobacz też art. 24 Rozporządzenia). Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.
Data Protection Impact Assessment (DPIA), czyli ocena skutków przetwarzania w zakresie danych osobowych, powinna być procesem zaprojektowanym do opisywania przetwarzania danych, oceny konieczności i proporcjonalności przetwarzania i do pomocy w zarządzaniu ryzykami związanymi z prawami i wolnościami osób fizycznych wynikającymi z przetwarzania danych osobowych. Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.
Niezgodność z wymaganiami DPIA może prowadzić do kar nakładanych przez właściwy organ nadzoru nawet do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku podatkowego, którakolwiek jest wyższa
Podmiot doradczy działający przy Komisji Europejskiej i składający się z przedstawicieli narodowych organów ochrony danych osobowych, tzw. Grupa Robocza Artykułu 29, przygotował ogólne wytyczne do przeprowadzenia DPIA.
Rozporządzenie wprowadza podejście oparte na ciągłej analizie ryzyka, zgodnie z którą zgodność z RODO musi być niuestannie badana i potwierdzana. Regulator wskazuje, że przeprowadzenie DPIA nie jest obowiązkowe dla każdej operacji przetwarzania danych. DPIA jest wymagane jedynie, gdy przetwarzanie jest „prawdopodobnym zagrożeniem dla praw i wolności osób fizycznych” [art. 35(1) RODO].
W celu potwierdzenia zwięzłej interpretacji okoliczności, w których DPIA jest obowiązkowe [art. 35(3)], obecne wytyczne w pierwszej kolejności mają na celu wyjaśnienie tego pojęcia i dostarczają kryteria dla list, które mają być przyjęte przez DPIA, gdy będzie obowiązywał [art. 35(4)].
W przepisach RODO nie ma wymagania, żeby DPIA było przeprowadzone dla każdej formy czy operacji przetwarzania danych osobowych, które może powodować ryzyka dla praw i wolności osób fizycznych. Przeprowadzenie DPIA jest konieczne tylko, gdy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych” [art. 35(1) RODO]. Może to zastosowanie szczególnie w przypadku wykorzystania nowych technologii w przetwarzaniu danych osobowych.
W przepisach RODO wskazane zostały trzy grupy przypadków kiedy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka”:
Jakie działania mogą być uznane za spełniające kryteria do uznania konieczności przeprowadzenia DPIA?
W swoich wytycznych Grupa Robocza Art. 29 wskazała następujące przykłady:
DPIA jest wymagane w przypadku:
DPIA niekoniecznie jest wymagane w przypadku:
Przedstawione Wytyczne Grupy Roboczej Artykułu 29 zawierają pewne wskazówki, jak postąpić przy przygotowywaniu się do przeprowadzenia DPIA, ale nie zawierają ścisłych wymagań technicznych, prawnych lub organizacyjnych.
Do takiej „swobody” przedsiębiorcy przetwarzający dane osobowe powinni się zacząć przyzwyczajać. Założenie przepisów RODO jest bowiem takie, aby przedsiębiorcy sami analizowali ryzyko związane z przetwarzaniem danych osobowych w ich stanie faktycznym i dobierali środki, które adresują tak zidentyfikowane ryzyko.
Zważywszy na zbliżającą się nieuchronnie datę 25 maja 2018 roku, do kiedy wymagania RODO będą musiały być spełnione, przedsiębiorcy nie powinni już czekać na dalsze wytyczne lub bardziej szczegółowe wymagania, jak przeprowadzić DPIA, ale zabrać się do sprawdzenia czynności przetwarzania, które mogą wymagać przeprowadzenia DPIA.