Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.
RODO nie definiuje pojęcia ryzyka, a także nie wskazuje wprost, w jaki sposób należy przeprowadzać analizę ryzyka. Wiadomo jedynie, że ma ona uwzględniać charakter, zakres, kontekst i cele przetwarzania danych, jak również ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, jakie wynika z przetwarzania. Tym samym zadaniem administratora jest samodzielne dobranie odpowiednich narzędzi i metod, które pozwolą mu na ustalenie, czy w jego organizacji przetwarzanie danych osobowych stwarza ryzyko dla praw i wolności osób fizycznych, jaki jest poziom tego ryzyka i w jaki sposób jest ono zabezpieczone lub może zostać zminimalizowane.
Z analizą ryzyka ściśle wiąże się pojęcie oceny skutków dla ochrony danych (ang. data protection impact assessment), o którym mowa w art. 35 RODO. Ocena skutków ma charakter następczy wobec głównej analizy ryzyka. Jeżeli wyniki analizy przeprowadzonej z uwzględnieniem charakteru, zakresu kontekstu i celów, wykazują, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, ocena skutków dla ochrony danych staje się obowiązkowa. Jak wynika z wytycznych Grupy Roboczej art. 29, ocenę skutków należy rozumieć jako proces, który opisuje przetwarzanie, a jednocześnie ocenia jego niezbędność i proporcjonalność. Efektem oceny ma być uzyskanie pomocy w zarządzaniu ryzykiem i dobranie środków, które pomogą temu ryzyku zaradzić (Wytyczne Grupy Roboczej art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679). Jeżeli w rezultacie przeprowadzenia oceny okaże się, że przetwarzanie powodowałoby wysokie ryzyko, administrator powinien rozważyć, czy planowane przetwarzanie danych jest celowe i czy jest gotowy podjąć tego rodzaju ryzyko. Ponadto, w myśl art. 36 RODO, wówczas jego obowiązkiem jest również skonsultowanie się z organem nadzorczym.
Jak wspomniano, ocena skutków dla ochrony danych jest obowiązkowa, gdy dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. RODO nie wyjaśnia jednak, kiedy ryzyko jest wysokie, pozostawiając decyzję w tym względzie administratorowi, co niejednokrotnie może sprawiać trudności.
W art. 35 ust. 3 RODO unijny prawodawca udzielił jednak administratorom pewnych wskazówek, tworząc katalog sytuacji, gdy ocena skutków jest obligatoryjna. Są to następujące przypadki:
Warto pamiętać, że powyższy katalog ma charakter otwarty, a zatem również innego rodzaju przetwarzanie może wymagać przeprowadzenia oceny skutków dla ochrony danych. Co więcej, w każdym państwie członkowskim organy nadzorcze mogą ustanawiać wykaz rodzajów operacji przetwarzania, które podlegają wymogowi dokonania oceny skutków. Taki wykaz został stworzony przez Prezesa Urzędu Ochrony Danych Osobowych. Można w nim znaleźć m.in. następujące operacje: przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu, przetwarzanie danych genetycznych, jak również ewaluacja lub ocena, w tym profilowanie i przewidywane (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony opublikowany w Monitorze Polskim 2019 r., poz. 666).
Tym samym, podejmując decyzję, czy ocena skutków dla ochrony danych jest w danym przypadku obowiązkowa, należy każdorazowo sprawdzić, czy operacja na danych nie została uwzględniona przez organ nadzorczy jako czynność, która obowiązkowo wymaga przeprowadzenia oceny skutków.
Ocenę skutków dla ochrony danych należy przeprowadzić jeszcze przed rozpoczęciem przetwarzania. A zatem, zarówno analiza ryzyka, jak i ocena skutków to procedury, które powinny zostać zrealizowane na początku planowanego przedsięwzięcia, jeszcze przed wcieleniem go w życie.
Jest to również związane z zasadami privacy by desing oraz privacy by default. Wdrażając w organizacji jakikolwiek nowy projekt, który będzie wymagał przetwarzania danych osobowych, należy mieć na uwadze zapewnienie bezpieczeństwa danych, czemu ma służyć właśnie analiza ryzyka oraz ocena skutków dla ochrony danych.
RODO nie zawiera dokładnych wytycznych co do sposobu, w jaki ocena powinna być dokonana. Administrator może więc skorzystać w tym zakresie z pewnego rodzaju swobody decyzyjnej co do metody przeprowadzenia oceny. Przykładowo, może wybrać dostępne na rynku narzędzia wykonujące ocenę skutków dla ochrony danych w sposób zautomatyzowany, oparty na precyzyjnych algorytmach, np. GDPR Risk Tracker. Ocenę można również przeprowadzić w sposób ręczny, np. poprzez opisanie przetwarzania, wymienienie możliwych zagrożeń oraz ustalenie metod, jakimi ryzyka wynikające z tych zagrożeń są lub mogą być redukowane.
Niezależnie od wybranej metody, należy pamiętać, że ocena powinna zawierać wymagane przez przepisy RODO elementy, a są one następujące:
Jeżeli administrator wyznaczył inspektora ochrony danych, ocena powinna zostać przeprowadzona w porozumieniu z nim. Jeżeli zachodzi taka potrzeba, administrator może również zasięgnąć opinii osób, których dane dotyczą lub ich przedstawicieli. RODO nie nakłada wprawdzie obowiązku dokumentowania oceny skutków dla ochrony danych, ale należy ocenić to jako dobrą praktykę, zwłaszcza gdy weźmiemy pod uwagę wiążącą administratora zasadę rozliczalności. Tylko dzięki udokumentowaniu przeprowadzenia oceny, chociażby w formie elektronicznej, administrator będzie w stanie wykazać, że dokonał oceny i że miała ona charakter rzetelny i zgodny z wymogami RODO.
Pobierz raport z DPIA
Przyznany administratorom duży zakres swobody co do wyboru metody analizy ryzyka i oceny skutków dla ochrony danych, może stwarzać niemałe trudności. W przypadku wadliwej lub nierzetelnej oceny ryzyka, odpowiedzialność za wszelkie nieprawidłowości, w tym za naruszenia bezpieczeństwa danych, spocznie na administratorze. Jak wiadomo, może być ona bardzo surowa.
Naruszenie obowiązku przeprowadzenia oceny skutków dla ochrony danych podlega administracyjnej karze pieniężnej w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Ocena skutków dla ochrony powinna być traktowana przez administratorów jako wyraz odpowiedzialności za bezpieczeństwo danych przetwarzanych w organizacji oraz dowód na to, że podchodzą do ochrony danych na poważnie. Przeprowadzanie rzetelnej oceny może pomóc nie tylko w uniknięciu kary pieniężnej, lecz także we wczesnym wykryciu ryzyk związanych z przetwarzaniem i dobraniu środków, które umożliwią ich zminimalizowanie, a w konsekwencji także uniknięcie naruszeń.
Autor:
Karolina Przybysz
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
