Procedura oceny skutków dla ochrony danych osobowych (DPIA)

Ocenę skutków przetwarzania należy przeprowadzić zawsze przed rozpoczęciem przetwarzania, tak wcześnie, jak jest to możliwe już w fazie planowania operacji przetwarzania danych. W odróżnieniu od ogólnej oceny ryzyka ocena skutków dla ochrony danych nie jest jednak wymagana w każdym przypadku. DPIA jest obowiązkowa, jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Dotyczy to w szczególności przetwarzania z użyciem nowych technologii. Weryfikując poziom tego ryzyka, należy brać pod uwagę charakter, zakres, kontekst i cele przetwarzania. Sprawdzenie, czy należy przeprowadzić ocenę skutków jest konieczne zarówno w przypadku nowych rodzajów przetwarzania jak i tych, które mają być poddane istotnej zmianie (np. transfer danych do państwa trzeciego, powierzenie danych do przetwarzania w chmurze w związku ze zmianą technologii przechowywania danych).

Zgodnie z art. 35 ust. 3 ogólnego rozporządzenia o ochronie danych wysokie ryzyko naruszenia praw lub wolności osób fizycznych zachodzi w szczególności w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, 
•  przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 ogólnego rozporządzenia, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, 
•  systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

DPIA nie musi być przeprowadzana, jeżeli:

•  przetwarzanie z dużym prawdopodobieństwem nie spowoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych,

• dana operacja lub zestaw operacji jest niezbędna do wypełnienia obowiązku prawnego ciążącego na administratorze, zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi i ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, któremu podlega administrator (a DPIA przeprowadzono na etapie prac legislacyjnych, w ramach oceny skutków regulacji - OCR),

• przetwarzanie uwzględnione jest w opcjonalnym wykazie operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków przyjętym przez Prezesa Urzędu Ochrony Danych Osobowych (aktualnie takiego wykazu nie ma).

W pierwszej kolejności należy opracować wykaz rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. Wykaz powinien być dostosowany do potrzeb danej jednostki organizacyjnej oraz powinien być prowadzony systematycznie. W tym celu można wyznaczyć osobę odpowiedzialną za te czynności. 

Opis planowanych operacji przetwarzania danych powinien w szczególności uwzględniać:

•  charakter, zakres, kontekst i cele przetwarzania danych osobowych,

•  informacje o odbiorcach oraz okres przechowywania,

•  opis przebiegu operacji przetwarzania danych,

• systemy informatyczne, dokumenty papierowe oraz inne nośniki, na których będą przetwarzane dane,

•  wykaz osób, które mają być upoważnione do dostępu do danych.

Kolejny krok dotyczący oceny skutków dla ochrony danych to przeprowadzenie oceny niezbędności i proporcjonalności danych, o której mowa w art. 35 ust. 7 lit. b RODO. Należy ustalić, czy cel zebrania danych jest:

•  konkretny, wyraźny i prawnie uzasadniony,

• zgodny z przepisami prawa,

•  adekwatny do zakresu danych.

Ponadto w ramach oceny skutków dla ochrony danych należy wskazać, czy zebrane dane są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celu, dla którego zostały zebrane. Poza tym ocenić trzeba, czy realizowane są prawa osób, których dane dotyczą, np. udzielanie informacji jej dotyczących, prawo dostępu do jej danych, udzielanie informacji o przekazywaniu, udostępnianiu danych jej dotyczących itp.

Administrator powinien wybrać metodologię przeprowadzenia oceny skutków dla ochrony danych. Dobrze, jeśli będzie ona uwzględniać podstawowe cele i atrybuty ochrony danych osobowych:

• poufność (dane są udostępniane tylko i wyłącznie upoważnionym podmiotom),

•  dostępność (dane muszą być zawsze dostępne dla upoważnionych użytkowników, kiedy jest to niezbędne),

•  integralność (dane nie powinny być zmieniane w sposób nieuprawniony, powinny pozostać nienaruszone, kompletne i aktualne).

Bardzo ważnym etapem procedury oceny jest właściwe oszacowanie ryzyka naruszenia praw i wolności osób fizycznych. Administrator powinien tu uwzględnić źródła, charakter, specyfikę i powagę ryzyka w swojej jednostce organizacyjnej. W szczególności powinien wziąć pod uwagę wyżej wymienione atrybuty ochrony danych (poufność, dostępność, integralność). W odniesieniu do każdego ryzyka powinien ustalić, czy zostały uwzględnione źródła tego ryzyka, potencjalne skutki i zagrożenia dla praw lub wolności osób, których dane dotyczą.

Kolejna kwestia to określenie środków zaradczych pozwalających uniknąć lub zminimalizować zidentyfikowane ryzyka dla procesów przetwarzania danych. Jeżeli administrator nie zdoła określić wystarczających środków zaradczych, powinien w tym celu skonsultować się z organem nadzorczym.

W toku oceny administrator powinien konsultować się z inspektorem ochrony danych, jeżeli został on wyznaczony w danej organizacji. Warto, aby ADO sformalizował udział IOD w tych czynnościach, np. wprowadzając odpowiednie zapisy do dokumentacji ochrony danych osobowych. W stosownych przypadkach administrator powinien zasięgnąć także opinii osób, których dane dotyczą, w sprawie zamierzonego przetwarzania danych ich dotyczących.

Administrator danych powinien opracować sprawozdanie z oceny skutków dla ochrony danych oraz dostarczyć do organu nadzorczego, jeśli jest to wymagane. Wymaga tego od niego reguła rozliczalności. Sprawdź, jak udokumentować przebieg DPIA.

Ostatni etap to poddawanie oceny skutków dla ochrony danych oraz procesów przetwarzania okresowym przeglądom, w szczególności w przypadku zmiany ryzyka związanego z daną operacją przetwarzania.

Ocena skutków powinna być powtarzana cyklicznie, ponieważ zarówno ryzyka, jak i zagrożenia mogą ulec zmianie, a zastosowane środki ochrony danych – techniczne i organizacyjne – mogą okazać się już niewystarczające. W niektórych przypadkach ocena skutków powinna być realizowana nieprzerwanie.