Grupa Robocza Art. 29 radzi w sprawie oceny skutków przetwarzania

Wytyczne do ogólnego rozporządzenia o ochronie danych wydane na początku kwietnia 2017 r. przez Grupę Roboczą Art. 29 dotyczą przeprowadzania oceny skutków dla ochrony danych oraz określania, kiedy przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności podmiotu danych.

Ocenę skutków dla ochrony danych przeprowadza się, jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 rodo).

Grupa Robocza Art. 29 podaje przykłady sytuacji, które powodują wysokie ryzyko naruszenia tych praw:

• systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,
• przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa,
• systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Wskazuje także kryteria, które trzeba wziąć pod uwagę, oceniając, czy przetwarzanie wiąże się z dużym ryzykiem. Należą do nich:

1) ocenianie lub przypisywanie punktów, w tym profilowanie i prognozowanie – np. w banku, który przeprowadza ocenę zdolności kredytowej w oparciu o bazę danych dotyczącą udzielonych kredytów i pożyczek.

2) automatyczne podejmowanie decyzji wywołujących skutki prawne lub podobne,

3) systematyczne monitorowanie,

4) przetwarzanie danych wrażliwych i danych dotyczących wyroków skazujących,

5) przetwarzanie danych na dużą skalę – trzeba tu brać pod uwagę liczbę osób, których dane dotyczą, ilość i zakres przetwarzanych danych, okres i zakres geograficzny przetwarzania,

6) zbiory danych, które zostały połączone – chodzi o zbiory, któr początkowo zostały utworzone w wyniku różnych operacji przetwarzania, prowadzonych dla różnych celów lub przez różnych administratorów,

7) dane dotyczą osób, które wymagają szczególnej opieki,

8) innowacyjne wykorzystanie rozwiązań technologicznych lub organizacyjnych,

9) przekazywanie danych do państw trzecich,

10) operacje przetwarzania, które uniemożliwiają podmiotom danych korzystanie z ich praw lub uniemożliwiają zawarcie umowy lub korzystanie z usług.

Zgodnie z wytycznymi Grupy Roboczej Art. 29, jeśli przetwarzanie spełnia mniej niż dwa kryteria, nie będzie wymagana ocena skutków. Natomiast jeżeli planowana operacja przetwarzania spełnia co najmniej dwa kryteria, konieczne będzie przeprowadzenie oceny skutków przetwarzania.

Zgodnie z wytycznymi Grupy Robocza Art. 29 nie trzeba będzie prowadzić oceny skutków przetwarznia, gdy:

• nie zachodzi duże prawdopodobieństwo, że przetwarzanie powodowałoby wysokie ryzyko naruszenia praw i wolności podmiotów danych,
• charakter, zakres, kontekst i cele operacji przetwarzania są bardzo podobne do innej operacji przetwarzania, dla której już przeprowadzono ocenę skutków,
• operacja przetwarzania ma podstawę prawną w prawie unijnym lub państwa członkowskiego i przepisy prawa regulują konkretną operację przetwarzania, a ocenę skutków dla ochrony danych przeprowadzono już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej, przy czym taka ocena skutków musiała być przeprowadzona zgodnie ze standardami zawartymi w rodo,
• operacja przetwarzania znajduje się na liście operacji, które nie wymagają przeprowadzania oceny skutków – listy takie mogą tworzyć i publikować organy nadzorcze.

Ocenę skutków przetwarzania trzeba będzie prowadzić dla operacji, które zaczną się po rozpoczęciu stosowania ogólnego rozporządzenia, czyli od 25 maja 2018 r. Jeżeli jednak do operacji przetwarzania wprowadzono istotną zmianę, np. zaczęto stosować nową technologię lub zmienił się cel przetwarzania, obowiązek przeprowadzenia oceny skutków może dotyczyć operacji toczących się przed rozpoczęciem stosowania rodo.

Ocena skutków przetwarzania powinna zawierać:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania,
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
• ocenę ryzyka naruszenia praw lub wolności podmiotów danych,
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, które mają zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia.

Ocenę przeprowadza administrator danych. Może się przy tym konsultować z inspektorem ochrony danych lub podmiotem przetwarzającym (jeśli będzie brał on udział w przetwarzaniu). W stosownych przypadkach można skonsultować się z podmiotami danych lub ich przedstawicielami, Grupa Robocza zaleca, aby zrobić to np. poprzez przeprowadzenie badania, przedstawienie pytań przedstawicielom pracowników lub związkom zawodowym, wysłanie kwestionariusza do potencjalnych klientów.

Jeżeli ocena skutków wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego zminimalizowania, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Grupa Robocza Art. 29 wyjaśnia, że chodzi tu o sytuacje, kiedy administrator określił ryzyka w ocenie skutków, ale nie znalazł środków, poprzez które mógłby im zaradzić.