RODO

Wdrożenie RODO krok po kroku. Etap X

X Ocena skutków wg RODO (DPIA)

Zgodnie z art. 35 ust. 1 zd. 1 RODO: „Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.”

Ocena skutków, czyli DPIA (z ang. Data Protection Impact Assessment) jest procesem mającym opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych poprzez ocenę ryzyka i ustalenie środków mających mu zaradzić. Dokonanie oceny pozwala wykazać, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO (zasada rozliczalności administratora). Ocena skutków jest nazywana „kwalifikowaną” analizą ryzyka bądź też szczególną formą analizy ryzyka.

Po przeprowadzeniu oceny ryzyka możemy stwierdzić czy mamy do czynienia przy przetwarzaniu danych osobowych z wysokim ryzykiem i czy konieczne jest przeprowadzenie DPIA.

Jak ustalić kiedy organizacja powinna przeprowadzić ocenę skutków przetwarzania dla ochrony danych  (DPIA)?

Organizacja musi odpowiedzieć sobie na poniższe pytania:

  • Czy dochodzi do systematycznej, kompleksowej oceny czynników osobowych, opartej na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i będącej podstawą decyzji wywołujących skutki prawne lub w inny sposób znacząco wpływających na osobę fizyczną? (art. 35 ust. 3 lit. a RODO)
  • Czy dochodzi do przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa? (art. 35 ust. 3 lit. b RODO)
  • Czy dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie? (art. 35 ust. 3 lit. c RODO)
  • Czy organ nadzorczy uznał dany rodzaj operacji przetwarzania za podlegający wymogowi DPIA lub istnieją inne powody, dla których przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? (art. 35 ust. 1 i 4 RODO)
  • Czy przetwarzanie łącznie: a) dotyczy danych zwykłych i jest niezbędne do wypełnienia obowiązku prawnego lub zadania realizowanego w interesie publicznym lub w ramach władzy publicznej? b) jest regulowane przepisami szczególnymi? (art. 35 ust. 10 RODO)

Produktem DPIA jest lista procesów wraz z oceną ryzyka i ewentualnie rekomendacją obniżającą ryzyko.

W raporcie końcowym z oceny skutków przetwarzania powinny znaleźć się:

  1. Nazwa projektu, data oceny, osoba odpowiedzialna.
  2. Wstępna ocena skutków dla ochrony danych – ocena ogólna ryzyka.
  3. Analiza projektu wraz z identyfikacją zagrożeń i ich potencjalnych skutków dla prywatności oraz czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, rekomendowane środki zaradcze.
  4. Stanowisko kadry zarządzającej - decyzje o wprowadzeniu środków zaradczych lub akceptacja ryzyka.
  5. Ewentualne konsultacje z UODO w przypadku wysokiego ryzyka przed rozpoczęciem przetwarzania
  6. Przypadki, w których należy dokonać przeglądu sporządzonej oceny bądź ponowienia oceny.

Po przeprowadzeniu oceny skutków przetwarzania otrzymamy wynik w postaci wysokiego ryzyka lub po prostu ryzyka. W razie wystąpienia ryzyka monitorujemy proces i po upływie określonego okresu  np. roku (jeżeli wcześniej proces się nie zmienił) ponownie przeprowadzamy DPIA.

Natomiast wobec procesów o wysokim ryzyku należy podjąć działania mające na celu jego obniżenie do poziomu tzw. zwykłego ryzyka.

Uzupełniająco warto wskazać, że PUODO podał do publicznej wiadomości wykaz rodzajów operacji przetwarzania danych osobowych, wymagających oceny skutków przetwarzania dla ich ochrony na mocy art. 35 ust. 1 RODO. Wykaz został opublikowany w formie załącznika do komunikatu Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (ogłoszonego w Monitorze Polskim w dniu 8 lipca 2019, poz. 666).

Zgodnie z tym Wykazem, operacje wymagające oceny skutków to:

  1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe i inne niedogodności dla osób fizycznych (przykłady: profilowanie użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowych; ocena stylu życia, sposobu jazdy, sposobu spędzania czasu w celu podwyższenia składki ubezpieczeniowej)
  2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansów lub podobne istotne skutki (przykłady: systemy monitoringu wykorzystywane do zarzadzania ruchem, umożliwiające szczegółowy nadzór nad kierowcą oraz jego zachowaniem na drodze, systemu automatycznego pobierania opłat za wjazd, monitorowanie zakupów i preferencji zakupowych)
  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdują się w monitorowanej przestrzeni. Do tej grupy nie są zaliczane systemu monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa (przykłady: monitorowanie osób korzystających z usług w przestrzeni publicznej, przy wykorzystaniu danych wykraczających poza niezbędne do świadczenia usług, systemy monitorowania czasu pracy pracowników oraz przepływu informacji w wykorzystywanych w nich narzędziach, systemu monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami, dane dotyczące zdrowia pacjentów/klientów).
  4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (przykłady: przetwarzanie przez organy państwowe lub podmioty prywatne danych osobowych dotyczących przynależności partyjnej i/lub preferencji wyborczych, serwisy internetowe do przetwarzania informacji obejmujących działania o charakterze czysto osobistym lub domowym – np. aplikacji typu „life-logging)
  5. Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź
    w celu kontroli dostępu
    (przykłady: systemy rozpoznawania twarzy, weryfikacja tożsamości w miejscu pracy w celu kontroli dostępu, systemy rozliczeniowo-ewidencyjne operacji bankowych, handlowych, ubezpieczeniowych, systemy kontroli wejść do klubów fitness, hoteli itp.)
  6. Przetwarzanie danych genetycznych (przykłady: diagnoza medyczna, testy DNA, badania medyczne)
  7. Dane przetwarzane na dużą skalę, gdzie pojęcie skali dotyczy:

- liczby osób, których dane są przetwarzane,

- zakresu przetwarzania,

- okresu przechowywana danych

- geograficznego zakresu przetwarzania.

(przykłady: centralne zbiory danych wspomagające zarzadzanie określoną grupą osób w celach związanych z realizacją zadań publicznych, z których dane są udostępniane w różnym zakresie w zależności od ich roli i zadań związanych z realizacją tych obowiązków, zbieranie szerokiego zakresu danych o przeglądanych stronach internetowych, realizowanych zakupach/historii zakupów, oglądanych programach telewizyjnych).

  1. Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł (przykłady: łączenie danych z różnych rejestrów państwowych i/lub publicznych, tworzenie profili ze zbiorów danych pochodzących z różnych źródeł)
  2. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi (przetwarzanie danych, w których dokonuje się klasyfikacji lub ocen osób, które dane dotyczą pod względem np. wieku, płci, a następnie klasyfikację tę wykorzystuje się do przedstawienia ofert lub innych działań, które mogą mieć wpływ na prawa lub wolność osób, których dane są przetwarzane, systemy do zgłaszania nieprawidłowości – whistleblowing).
  3. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych (przykłady: systemy zdalnego opomiarowania, które umożliwiają profilowanie osób lub grupy osób, systemy analizy i przetwarzania danych znajdujących się w metadanych, np. zdjęcia opatrzone danymi globalizacyjnymi, systemy dostosowane do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń przenośnych – smartwatch, stosowanie urządzeń wyposażonych w interfejsy 0 głośnik, mikrofon, kamera, usługi i zabawki dedykowane dzieciom.)
  4. Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie

prawa lub korzystanie z usługi lub umowy (przykłady: podejmowanie decyzji kredytowej w stosunku do potencjalnych klientów na podstawie informacji zawartych w bazach zawierających informacje o dłużnikach lub podobnych bazach danych, uzależnianie możliwości korzystania z usługi od informacji w zakresie dochodów, kwoty wydatków miesięcznych i innych wartości zebranych w wyniku profilowania)

  1. Przetwarzanie danych lokalizacyjnych (przykład: przetwarzanie wykorzystujące śledzenie lokalizacji osoby fizycznej)

O kolejnych etapach wdrażania RODO, w tym m. in. o zagadnieniach związanych z transferem danych poza EOG dowiesz się z kolejnego artykułu w ramach naszego Cyklu.

Autor: Katarzyna Brudnicka-Bielecka