RODOtyka: Data Protection Impact Assessment, czyli ocena skutków dla ochrony danych

W przepisach RODO nie ma wymagania, żeby DPIA było przeprowadzone dla każdej formy czy operacji przetwarzania danych osobowych, które może powodować ryzyka dla praw i wolności osób fizycznych. Przeprowadzenie DPIA jest konieczne tylko, gdy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych” [art. 35(1) RODO]. Może to zastosowanie szczególnie w przypadku wykorzystania nowych technologii w przetwarzaniu danych osobowych.

W przepisach RODO wskazane zostały trzy grupy przypadków kiedy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka”:

• systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, lub 
• systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Jakie działania mogą być uznane za spełniające kryteria do uznania konieczności przeprowadzenia DPIA?

W swoich wytycznych Grupa Robocza Art. 29 wskazała następujące przykłady:

• Ewaluacja i scoring, uwzględniający profilowanie i przewidywanie
• Zautomatyzowane podejmowanie decyzji ze skutkiem prawnym lub porównywalnym
• Systematyczny monitoring
• Przetwarzanie szczególnych kategorii danych osobowych
• Dane przetwarzane na dużą skalę
• Zestawy danych, które zostały połączone lub dopasowane
• Wykorzystanie innowacyjnych rozwiązań technologicznych i/lub organizacyjnych
• Transfer danych poza granice UE
• Kiedy przetwarzanie samo w sobie „uniemożliwia podmiotom danych wykonywanie prawa lub używanie usługi lub kontraktu”

• Gdy mało prawdopodobne jest, że przetwarzanie "może prowadzić do wystąpienia wysokiego ryzyka”  [art. 35(1)]
• Gdy natura, zakres, kontekst i cele przetwarzania są bardzo podobne do przetwarzania, dla którego DPIA został już przeprowadzony. W takich sytuacjach, wykorzystane mogą zostać wyniki DPIA dla podobnego przetwarzania [art. 35(1)]
• Gdy operacja przetwarzania ma podstawy prawne w przepisach UE lub państwie członkowskim i stanowi, że DPIA nie musi być przeprowadzony, gdzie prawo reguluje konkretne operacje przetwarzania i gdzie DPIA, zgodnie ze standardami RODO, był już przeprowadzony, jako część ustanowienia podstaw prawnych [art. 35(10)]
• Gdy przetwarzanie jest zawarte na liście opcjonalnej (ustanowionej przez organ nadzoru) lub operacje przetwarzania, dla których DPIA jest wymagane [art. 35(5)]. Taka lista może zawierać czynności przetwarzania, które są zgodne z warunkami określonymi przez ten organ nadzoru, w szczególności poprzez wytyczne, konkretne decyzje i autoryzacje, zasady zgodności itp. W takich sytuacjach i jako przedmiot ponownej oceny przez odpowiedni organ nadzoru, DPIA nie jest wymagane, ale tylko jeśli przetwarzanie należy ściśle do zakresu odpowiednich procedur wspomnianych na liście i kontynuuje pełną zgodność z odpowiednimi wymaganiami.

DPIA jest wymagane w przypadku:

• Szpitalu przetwarzającego dane genetyczne oraz dane o zdrowiu swoich pacjentów (szpitalny system IT) - szczególne kategorie danych, dane zawierające szczególne kategorie danych
• Zastosowania kamer do monitorowania zachowania kierowców na autostradach (administrator przewiduje użycie inteligentnych systemów analizy wideo do wyodrębnienia aut i automatycznego rozpoznania numerów rejestracyjnych) - systematyczny monitoring, innowacyjne zastosowanie albo wdrożenie technologicznych lub organizacyjnych rozwiązań
• Firmy monitorującej czynności swoich pracowników (m.in. monitorowanie stacji roboczej, aktywności w Internecie itd.) - systematyczny monitoring, dane zawierające szczególne kategorie danych
• Zbieraniu publicznych profili w mediach społecznościowych do użytku przez prywatne firmy generujące profile - ocena lub punktacja, dane przetwarzane na dużą skalę
  

DPIA niekoniecznie jest wymagane w przypadku:

• Serwisu internetowego używającego listy mailingowej do wysyłania codziennych wiadomości do swoich subskrybentów - nie dotyczy
• Witryny e-commerce wyświetlającej reklamy wina, używającej ograniczonego profilowania opartego na zakupach z przeszłości na ich stronie - ocena lub punktacja, ale nie systematyczna i rozległa

Przedstawione Wytyczne Grupy Roboczej Artykułu 29 zawierają pewne wskazówki, jak postąpić przy przygotowywaniu się do przeprowadzenia DPIA, ale nie zawierają ścisłych wymagań technicznych, prawnych lub organizacyjnych.

Do takiej „swobody” przedsiębiorcy przetwarzający dane osobowe powinni się zacząć przyzwyczajać. Założenie przepisów RODO jest bowiem takie, aby przedsiębiorcy sami analizowali ryzyko związane z przetwarzaniem danych osobowych w ich stanie faktycznym i dobierali środki, które adresują tak zidentyfikowane ryzyko.

Zważywszy na zbliżającą się nieuchronnie datę 25 maja 2018 roku, do kiedy wymagania RODO będą musiały być spełnione, przedsiębiorcy nie powinni już czekać na dalsze wytyczne lub bardziej szczegółowe wymagania, jak przeprowadzić DPIA, ale zabrać się do sprawdzenia czynności przetwarzania, które mogą wymagać przeprowadzenia DPIA.