Czy firewall oznacza konieczność dokonania oceny skutków dla ochrony danych osobowych (DPIA)

RODO reguluje:

• ogólną ocenę ryzyka przetwarzania danych osobowych; oraz
• ocenę skutków dla ochrony danych osobowych.

Analiza ryzyka to obowiązek każdego administratora danych osobowych. Musi on bowiem systematycznie weryfikować czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka, a jeśli tak, to jakie. Zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów RODO w razie kontroli Prezesa Urzędu Ochrony Danych Osobowych. Dlatego warto taką wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Prezes UODO wyróżnił następujące etapy procesu oceny ryzyka:

• kontekst dla analizy ryzyka,
• opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
• szacowanie i ocena ryzyka,
• postępowanie z ryzykiem.

Poza ogólną analizą ryzyka RODO reguluje DPIA czyli ocenę skutków dla ochrony danych osobowych. Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Ocenę skutków przetwarzania dla ochrony danych przeprowadza się w szczególności w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych (art. 10 RODO); lub
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Art. 35 ust. 7 RODO wymaga, aby ocena zawierała:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Typowy firewall stosowany powszechnie służy wyłącznie do monitorowanie, ograniczania czy przekierowania ruchu sieciowego. Firewall nie jest nową technologią i – przynajmniej w formie w jakiej jest powszechnie stosowany – nie generuje co do zasady wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W związku z powyższym wystarczające jest poddanie stosowania zapory ogniowej ogólnej analizie ryzyka RODO.