Ocena skutków przetwarzania dla ochrony danych w 8 krokach

Ocena skutków dla ochrony danych nie jest wymagana w każdym przypadku. Administrator powinien podjąć decyzję, czy taka ocena jest konieczna dla procesów przetwarzania danych w obszarze jego działania. Taka decyzja może być trudna, ponieważ nie ma gwarancji, że dana operacja spowoduje wysokie ryzyko naruszenia ochrony danych. Grupa Robocza Art. 29 w swoich wytycznych zaleca jednak, aby w przypadku wątpliwości przeprowadzić ocenę skutków, pozwoli ona bowiem zweryfikować poziom bezpieczeństwa danych i zastosować odpowiednie środki prewencyjne.

Operacje przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w szczególności dotyczą przypadków wprowadzania nowych technologii przetwarzania danych takich jak np. przetwarzanie danych on-line. Podobnie w przypadku każdej istotnej zmiany w procesie przetwarzania danych – np. transferu danych do państwa trzeciego lub powierzenia danych do przetwarzania w chmurze obliczeniowej – trzeba będzie przeprowadzić ocenę skutków. Taki obowiązek pojawi się także, gdy operacje przetwarzania danych stały się niezbędne z uwagi na upływ czasu od momentu pierwotnego przetwarzania, np. w związku ze zmianą technologii przechowywania lub wdrożenia nowej aplikacji do ich przetwarzania.

Wysokie ryzyko naruszenia praw lub wolności osób fizycznych zachodzi w szczególności, gdy dochodzi do (art. 35 ust. 3 ogólnego rozporządzenia):

1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,

2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 ogólnego rozporządzenia, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa,

3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Obowiązek przeprowadzenia oceny skutków dla ochrony danych nie zachodzi, jeżeli:

1) przetwarzanie z dużym prawdopodobieństwem nie spowoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych,

2) dana operacja lub zestaw operacji jest niezbędna do wypełnienia obowiązku prawnego ciążącego na administratorze,

3) dana operacja lub zestaw operacji jest niezbędna do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi i ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator,

4) przetwarzanie uwzględnione jest w opcjonalnym wykazie operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków (ustanowionym przez organ nadzorczy).

Ocenę skutków przetwarzania należy przeprowadzić zawsze przed rozpoczęciem przetwarzania, tak wcześnie, jak jest to możliwe już w fazie planowania operacji przetwarzania danych. Ocena powinna być powtarzana cyklicznie, ponieważ zarówno ryzyka, jak i zagrożenia mogą ulec zmianie, a zastosowane środki ochrony danych – techniczne i organizacyjne – mogą okazać się już niewystarczające. W niektórych przypadkach ocena skutków powinna być realizowana nieprzerwanie.

Administrator danych może samodzielnie przeprowadzić ocenę skutków przetwarzania lub powierzyć to zadanie innej osobie. Musi jednak pamiętać, że zgodnie z ogólnym rozporządzeniem o ochronie danych to on, jako administrator, ponosi odpowiedzialność za przeprowadzenie oceny skutków przetwarzania. Wszystkie osoby zaangażowane w przeprowadzenie oceny skutków przetwarzania powinny mieć jasno wyznaczone obowiązki i zadania w tym zakresie, tak aby sprawnie ją przeprowadzić.

Jeśli u administratora funkcjonują zatwierdzone kodeksy postępowania, o których mowa w ogólnym rozporządzeniu o ochronie danych, to podczas przeprowadzania oceny skutków przetwarzania trzeba uwzględnić zgodność z zatwierdzonymi kodeksami postępowania.

W pierwszej kolejności należy opracować wykaz rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. Wykaz powinien być dostosowany do potrzeb danej jednostki organizacyjnej oraz powinien być prowadzony systematycznie. W tym celu można wyznaczyć osobę odpowiedzialną za te czynności.

Opracowany wykaz musi być zgodny z wykazem rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków, opublikowanym przez organ nadzorczy. Zgodnie z art. 35 ust. 4 ogólnego rozporządzenia jest on do tego zobligowany. Opis planowanych operacji przetwarzania danych powinien w szczególności uwzględniać:

• charakter, zakres, kontekst i cele przetwarzania danych osobowych,
• informacje o odbiorcach oraz okres przechowywania,
• opis przebiegu operacji przetwarzania danych,
• systemy informatyczne, dokumenty papierowe oraz inne nośniki, na których będą przetwarzane dane,
• wykaz osób, które mają być upoważnione do dostępu do danych.

Kolejny krok to przeprowadzenie oceny niezbędności i proporcjonalności danych, o której mowa w art. 35 ust. 7 lit. b ogólnego rozporządzenia. Należy ustalić, czy cel zebrania danych jest:

• konkretny, wyraźny i prawnie uzasadniony,
• zgodny z przepisami prawa,
• adekwatny do zakresu danych.

Ponadto należy wskazać, czy zebrane dane są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celu, dla którego zostały zebrane. Poza tym trzeba ocenić, czy realizowane są prawa osób, których dane dotyczą, np. udzielanie informacji jej dotyczących, prawo dostępu do jej danych, udzielanie informacji o przekazywaniu, udostępnianiu danych jej dotyczących itp.

Administrator powinien wybrać metodologię przeprowadzenia oceny skutków dla ochrony danych. Dobrze, jeśli będzie ona uwzględniać podstawowe cele i atrybuty ochrony danych osobowych. W szczególności takie jak:

• poufność (dane są udostępniane tylko i wyłącznie upoważnionym podmiotom),
• dostępność (dane muszą być zawsze dostępne dla upoważnionych użytkowników, kiedy jest to niezbędne),
• integralność (dane nie powinny być zmieniane w sposób nieuprawniony, powinny pozostać nienaruszone, kompletne i aktualne).

Można wziąć także pod uwagę dodatkowe atrybuty ochrony danych takie jak autentyczność (właściwość zapewniająca, że dane osobowe są takie, jak zadeklarowano) i rozliczalność (właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko jemu).

Administrator powinien uwzględnić źródła, charakter, specyfikę i powagę ryzyka w swojej jednostce organizacyjnej. W szczególności powinien wziąć pod uwagę wyżej wymienione atrybuty ochrony danych (poufność, dostępność, integralność). W odniesieniu do każdego ryzyka powinien ustalić, czy zostały uwzględnione źródła tego ryzyka, potencjalne skutki i zagrożenia dla praw lub wolności osób, których dane dotyczą.

Kolejna kwestia to określenie środków zaradczych pozwalających uniknąć lub zminimalizować zidentyfikowane ryzyka dla procesów przetwarzania danych. Jeżeli administrator nie zdoła określić wystarczających środków zaradczych, powinien w tym celu skonsultować się z organem nadzorczym.

Administrator powinien konsultować się z inspektorem ochrony danych, przeprowadzając ocenę skutków przetwarzania – jeżeli został on wyznaczony. Warto, aby sformalizował udział inspektora ochrony danych w tych czynnościach, np. wprowadzając odpowiednie zapisy do dokumentacji ochrony danych osobowych. W stosownych przypadkach powinien zasięgnąć także opinii osób, których dane dotyczą, w sprawie zamierzonego przetwarzania danych ich dotyczących.

Administrator danych powinien opracować sprawozdanie z oceny skutków dla ochrony danych oraz dostarczyć do właściwego organu nadzorczego, jeśli jest to wymagane.

Ostatni etap to poddawanie oceny skutków dla ochrony danych oraz procesów przetwarzania okresowym przeglądom, w szczególności w przypadku zmiany ryzyka związanego z daną operacją przetwarzania.