Data Protection Impact Assessment, czyli ocena skutków dla ochrony danych

08/06/17

Ogólne rozporządzenie o ochronie danych (RODO) zawiera wymagania wobec przedsiębiorców przetwarzających dane osobowe, aby przeprowadzali analizy wpływu działań na danych osobowych na ryzyko naruszenia praw i wolności osób, których dane te dotyczą.

Wymagania te ujęte zostały w obowiązku przeprowadzania oceny skutków przetwarzania dla ochrony danych osobowych, zwanym popularnie PIA (od Privacy Impact Assessment) lub DPIA (od Data Protection Impact Assessment).

Parlament Europejski opisał ocenę skutków w RODO jako „zasadniczy rdzeń każdego zrównoważonego planu ochrony danych”. Wskazał też, że taka ocena, jeśli przeprowadzona w sposób pełny i dokładny, może „fundamentalnie ograniczyć” liczbę wycieków danych i naruszeń prywatności.

Raporty DPIA są ważnymi narzędziami dla odpowiedzialności, jako że pomagają administratorom danych nie tylko być w zgodności z wymaganiami RODO, ale także udowodnić, że odpowiednie środki były przedsięwzięte do zapewnienia zgodności z regulacjami (zobacz też art. 24 Rozporządzenia). Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.

Data Protection Impact Assessment (DPIA), czyli ocena skutków przetwarzania w zakresie danych osobowych, powinna być procesem zaprojektowanym do opisywania przetwarzania danych, oceny konieczności i proporcjonalności przetwarzania i do pomocy w zarządzaniu ryzykami związanymi z prawami i wolnościami osób fizycznych wynikającymi z przetwarzania danych osobowych. Innymi słowy, DPIA jest procesem budowania i demonstrowania zgodności z zapisami RODO.

 

Niezgodność z wymaganiami DPIA może prowadzić do kar nakładanych przez właściwy organ nadzoru nawet do 10 milionów euro lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku podatkowego, którakolwiek jest wyższa

 

Unijny regulator nie zawarł w przepisach RODO jednoznacznych instrukcji jak należy przeprowadzić DPIA

Podmiot doradczy działający przy Komisji Europejskiej i składający się z przedstawicieli narodowych organów ochrony danych osobowych, tzw. Grupa Robocza Artykułu 29, przygotował ogólne wytyczne do przeprowadzenia DPIA.

Rozporządzenie wprowadza podejście oparte na ciągłej analizie ryzyka, zgodnie z którą zgodność z RODO musi być niuestannie badana i potwierdzana. Regulator wskazuje, że przeprowadzenie DPIA nie jest obowiązkowe dla każdej operacji przetwarzania danych. DPIA jest wymagane jedynie, gdy przetwarzanie jest „prawdopodobnym zagrożeniem dla praw i wolności osób fizycznych” [art. 35(1) RODO].

W celu potwierdzenia zwięzłej interpretacji okoliczności, w których DPIA jest obowiązkowe [art. 35(3)], obecne wytyczne w pierwszej kolejności mają na celu wyjaśnienie tego pojęcia i dostarczają kryteria dla list, które mają być przyjęte przez DPIA, gdy będzie obowiązywał [art. 35(4)].

Jakie czynności są wymagane do przeprowadzenia prawidłowego DPIA?

  • Przygotowanie usystematyzowanego opisu przewidywanych operacji przetwarzania danych
  • Określenie celów przetwarzania
  • Przedstawienie uzasadnionego interesu realizowanego przez administratora (jeśli dotyczy)
  • Ocena ryzyka dla praw i wolności podmiotów danych
  • Przedstawienie środków przewidzianych do wskazania ryzyka
  • Wskazanie zabezpieczeń, środków ochrony i mechanizmów zapewniania ochrony danych osobowych i do przedstawiania zgodności

View more

W jakich sytuacjach DPIA jest obowiązkowe?

W przepisach RODO nie ma wymagania, żeby DPIA było przeprowadzone dla każdej formy czy operacji przetwarzania danych osobowych, które może powodować ryzyka dla praw i wolności osób fizycznych. Przeprowadzenie DPIA jest konieczne tylko, gdy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych” [art. 35(1) RODO]. Może to zastosowanie szczególnie w przypadku wykorzystania nowych technologii w przetwarzaniu danych osobowych.

W przepisach RODO wskazane zostały trzy grupy przypadków kiedy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka”:

  • systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, lub 
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Jakie działania mogą być uznane za spełniające kryteria do uznania konieczności przeprowadzenia DPIA?

W swoich wytycznych Grupa Robocza Art. 29 wskazała następujące przykłady:

  • Ewaluacja i scoring, uwzględniający profilowanie i przewidywanie
  • Zautomatyzowane podejmowanie decyzji ze skutkiem prawnym lub porównywalnym
  • Systematyczny monitoring
  • Przetwarzanie szczególnych kategorii danych osobowych
  • Dane przetwarzane na dużą skalę
  • Zestawy danych, które zostały połączone lub dopasowane
  • Wykorzystanie innowacyjnych rozwiązań technologicznych i/lub organizacyjnych
  • Transfer danych poza granice UE
  • Kiedy przetwarzanie samo w sobie „uniemożliwia podmiotom danych wykonywanie prawa lub używanie usługi lub kontraktu”

View more

W jakich sytuacjach przeprowadzenie DPIA nie jest wymagane?

  • Gdy mało prawdopodobne jest, że przetwarzanie "może prowadzić do wystąpienia wysokiego ryzyka”  [art. 35(1)]
  • Gdy natura, zakres, kontekst i cele przetwarzania są bardzo podobne do przetwarzania, dla którego DPIA został już przeprowadzony. W takich sytuacjach, wykorzystane mogą zostać wyniki DPIA dla podobnego przetwarzania [art. 35(1)]
  • Gdy operacja przetwarzania ma podstawy prawne w przepisach UE lub państwie członkowskim i stanowi, że DPIA nie musi być przeprowadzony, gdzie prawo reguluje konkretne operacje przetwarzania i gdzie DPIA, zgodnie ze standardami RODO, był już przeprowadzony, jako część ustanowienia podstaw prawnych [art. 35(10)]
  • Gdy przetwarzanie jest zawarte na liście opcjonalnej (ustanowionej przez organ nadzoru) lub operacje przetwarzania, dla których DPIA jest wymagane [art. 35(5)]. Taka lista może zawierać czynności przetwarzania, które są zgodne z warunkami określonymi przez ten organ nadzoru, w szczególności poprzez wytyczne, konkretne decyzje i autoryzacje, zasady zgodności itp. W takich sytuacjach i jako przedmiot ponownej oceny przez odpowiedni organ nadzoru, DPIA nie jest wymagane, ale tylko jeśli przetwarzanie należy ściśle do zakresu odpowiednich procedur wspomnianych na liście i kontynuuje pełną zgodność z odpowiednimi wymaganiami.
     

View more

Praktyczne przykłady przetwarzania

DPIA jest wymagane w przypadku:

  • Szpitalu przetwarzającego dane genetyczne oraz dane o zdrowiu swoich pacjentów (szpitalny system IT) - szczególne kategorie danych, dane zawierające szczególne kategorie danych
  • Zastosowania kamer do monitorowania zachowania kierowców na autostradach (administrator przewiduje użycie inteligentnych systemów analizy wideo do wyodrębnienia aut i automatycznego rozpoznania numerów rejestracyjnych) - systematyczny monitoring, innowacyjne zastosowanie albo wdrożenie technologicznych lub organizacyjnych rozwiązań
  • Firmy monitorującej czynności swoich pracowników (m.in. monitorowanie stacji roboczej, aktywności w Internecie itd.) - systematyczny monitoring, dane zawierające szczególne kategorie danych
  • Zbieraniu publicznych profili w mediach społecznościowych do użytku przez prywatne firmy generujące profile - ocena lub punktacja, dane przetwarzane na dużą skalę

DPIA niekoniecznie jest wymagane w przypadku:

  • Serwisu internetowego używającego listy mailingowej do wysyłania codziennych wiadomości do swoich subskrybentów - nie dotyczy
  • Witryny e-commerce wyświetlającej reklamy wina, używającej ograniczonego profilowania opartego na zakupach z przeszłości na ich stronie - ocena lub punktacja, ale nie systematyczna i rozległa

View more

Podsumowanie

Przedstawione Wytyczne Grupy Roboczej Artykułu 29 zawierają pewne wskazówki, jak postąpić przy przygotowywaniu się do przeprowadzenia DPIA, ale nie zawierają ścisłych wymagań technicznych, prawnych lub organizacyjnych.

Do takiej „swobody” przedsiębiorcy przetwarzający dane osobowe powinni się zacząć przyzwyczajać. Założenie przepisów RODO jest bowiem takie, aby przedsiębiorcy sami analizowali ryzyko związane z przetwarzaniem danych osobowych w ich stanie faktycznym i dobierali środki, które adresują tak zidentyfikowane ryzyko.

Zważywszy na zbliżającą się nieuchronnie datę 25 maja 2018 roku, do kiedy wymagania RODO będą musiały być spełnione, przedsiębiorcy nie powinni już czekać na dalsze wytyczne lub bardziej szczegółowe wymagania, jak przeprowadzić DPIA, ale zabrać się do sprawdzenia czynności przetwarzania, które mogą wymagać przeprowadzenia DPIA.

View more

Skontaktuj się z nami

Sylwia Pusz
Partner
Tel.: +48 603 333 309
Email

Anna Kobylańska
Counsel, Adwokat
Tel.: +48 519 506 226
Email

Obserwuj nas