Baza wiedzy

24 sierpnia w Monitorze Polskim został opublikowany komunikat Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu operacji przetwarzania danych, wobec których wymagane jest przeprowadzenie tzw. oceny skutków dla ochrony danych (ang. Data Privacy Impact Assessment - DPIA).

Ocenę należy przeprowadzić przed faktycznym rozpoczęciem prowadzenia konkretnej operacji przetwarzania danych, a więc jeszcze na etapie planowania tej operacji.

W niniejszym artykule zawarto informacje, w jaki sposób należy przeprowadzać ocenę skutków zgodnie z wymaganiami RODO.

Kiedy należy przeprowadzać ocenę skutków dla ochrony danych?

Zgodnie z treścią art. 35 RODO, administrator danych jest zobowiązany do przeprowadzenia oceny skutków planowanych operacji przetwarzania danych (ang. Data Privacy Impact Assessment, DPIA lub krócej - PIA), jeżeli te konkretne operacje przetwarzania danych ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takimi operacjami mogą być w szczególności te, które są oparte na nowych technologiach.

Z powyższego wynika więc, że:

• ocenę skutków przeprowadza się wobec planowanych operacji przetwarzania (a więc przeprowadza się ją przed wdrożeniem ich do stosowania), które to operacje

• mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, przy czym prawdopodobieństwo wystąpienia tego ryzyka jest duże i wynika

• z charakteru, zakresu, kontekstu i celów przetwarzania danych w ramach tych operacji.

Jak wynika z powyższego, obowiązek przeprowadzania DPIA nie dotyczy wszelkich operacji przetwarzania danych osobowych realizowanych przez administratora, a jedynie takich które w jego ocenie mogą powodować „wysokie ryzyko naruszenia praw lub wolności osób fizycznych”, a prawdopodobieństwo faktycznego wystąpienia tego ryzyka jest „duże”. RODO nie wskazuje jednak przy tym w jakich przypadkach należy oceniać ryzyko jako „wysokie” oraz kiedy prawdopodobieństwo jego wystąpienia jest „duże”, pozostawiając tą ocenę administratorom danych (którą to powinni przeprowadzać w ramach ogólnie stosowanej analizy ryzyka, zgodnie z wytycznymi wskazanymi w art. 24 oraz 32 RODO).

Na tym jednak nie koniec. W samej treści RODO znajdujemy kilka przykładów operacji przetwarzania danych, które - biorąc pod uwagę powyżej wskazane kryteria - zostały wprost wymienione przez ustawodawcę unijnego jako wymagające obligatoryjnego przeprowadzenia oceny skutków.

Przeprowadzenie takiej oceny zgodnie z treścią art. 35 ust. 3 RODO jest wymagana zawsze w przypadku operacji dotyczących:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,

• przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa
  w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO; lub

• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Pierwszy wymieniony przypadek związany jest z przetwarzaniem danych osobowych w postaci elektronicznej, z wykorzystaniem systemów informatycznych, w tym różnego rodzaju algorytmów ("zautomatyzowane" przetwarzanie). Nie dotyczy więc przypadków przetwarzania danych w postaci tradycyjnej ("papierowej"). Ważny jest również tutaj potencjalny skutek jaki mogą wywołać te operacje. Mogą bowiem prowadzić do podejmowania decyzji wobec osoby fizycznej, która będzie miała wpływ na jej sytuację prawną, majątkową lub inną o zbliżonym charakterze. Przykładem tego typu operacji są między innymi scoringi kredytowe, wykorzystywane przez instytucje finansowe do weryfikacji wiarygodności kredytowej konkretnej osoby fizycznej. W takim wypadku porównywane są różnego rodzaju informacje o konkretnej osobie w celu podjęcia ostatecznej decyzji odnośnie udzielenia lub nie kredytu lub innej formy finansowania. Podobnie działają instytucje ubezpieczeniowe dokonując analizy osoby zainteresowanej zakupem produktu ubezpieczeniowego, którego cena (składka) zazwyczaj uzależniona jest od spełniania lub nie określonych warunków przez wnioskującego (np. wiek, długość posiadania prawa jazdy, czy też okres bezkolizyjnej jazdy).

W drugim wskazanym przypadku kluczową rolę wiodą kategorie (rodzaj) przetwarzanych danych osobowych. Chodzi bowiem o tzw. dane sensytywne (o których mowa w art. 9 RODO) lub też dane dotyczące wyroków skazujących i naruszeń prawa. Wśród danych sensytywnych znajdziemy między innymi te dotyczące: pochodzenia rasowego lub etnicznego, stanu zdrowia, danych genetycznych czy też danych biometrycznych. Nie ma więc wątpliwości, że przetwarzanie tego typu informacji może bardzo intensywnie wpływać na sytuację jednostki, w tym znacząco wpływać na jej prawa i wolności. W tym przypadku ważna jest też skala przetwarzania, która musi być duża. Bez wątpienia tego typu operacje prowadzą na dużą skalę na przykład placówki lecznicze o zasięgu co najmniej wojewódzkim. Ale dane sensytywne na dużą skalę przetwarzają również inne podmioty, w tym wskazywane wcześniej zakłady ubezpieczeń w ramach oferowanych produktów ubezpieczeniowych dotyczących ochrony zdrowia i życia. Zazwyczaj wówczas podstawą do udzielenia określonego ubezpieczenia jest przeprowadzenie tzw. ankiety medycznej wobec osoby zainteresowanej ubezpieczeniem.

Ostatni wymieniony przypadek dotyczy podmiotów, które stosują m.in. monitoring wizyjny czy też monitoring elektroniczny (np. monitoring poczty elektronicznej stosowany przez pracodawców) i w ramach tych operacji zapisują dane osobowe, przy czym operacje te muszą dotyczyć miejsc dostępnych publicznie oraz muszą odbywać się na dużą skalę. Bez wątpienia tego typu operacje prowadzi wiele podmiotów samorządu terytorialnego lub administracji publicznej, takie jak Straże Miejskie, Policja, czy też podmioty zapewniające transport publiczny, w którym coraz częściej stosuje się monitoring (np. w autobusach, pociągach etc.). Tego typu operacje mogą również prowadzić podmioty świadczące usługi w zakresie ochrony mienia i osób, czy też organizatorzy imprez masowych (np. kluby sportowe). Miejsca dostępne publiczne to również drogi publiczne - sprawa dotyczy więc także zarządców dróg publicznych stosujących monitoring.

Prezes Urzędu Ochrony Danych Osobowych opublikował własną listę operacji wymagających przeprowadzneia DPIA

Należało się spodziewać, że faktycznego "poszerzenia" wykazu operacji przetwarzania danych wymagających przeprowadzenia oceny skutków dokona Prezes Urzędu Ochrony Danych Osobowych. Zgodnie bowiem z treścią art. 35 ust. 4 RODO organ nadzorczy był zobowiązany ustanowić i podać do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Prezes Urzędu Ochrony Danych Osobowych miał 3 miesiące (licząc od daty wejścia w życie nowej ustawy o ochronie danych osobowych) na opublikowanie wykazu tych operacji. Ostatecznie wykaz został opublikowany w Monitorze Polskim 24 sierpnia.

 

Co musi zawierać ocena skutków?

Zgodnie z treścią art. 35 ust. 7 RODO, konkretna ocena skutków dla ochrony danych powinna zawierać jako minimum:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma
  to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,

• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,

• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,

• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie wymagań RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą oraz innych osób, których dotyczą planowane operacje przetwarzania.

Opis planowanych operacji oraz celów przetwarzania danych w ramach tych operacji przypomina rodzaje opisów, które należy prowadzić w rejestrze czynności przetwarzania danych, o którym mowa w art. 30 RODO. Chodzi więc o zestawienie poszczególnych czynności, które składają się na planowaną operację przetwarzania biorąc pod uwagę cel, w jakim mają być przetwarzane dane w ramach tej operacji. W rzeczywistości sposób opisu jaki powinien zastosować administrator danych jest zbliżony opisowi operacji wymagających przeprowadzenia oceny skutków, zawartemu w wykazie Prezesa Urzędu Ochrony Danych Osobowych, o którym była mowa wyżej.

Kolejnym bardzo istotnym elementem oceny skutków jest przeprowadzenie analizy, czy w ogóle prowadzenie planowanej operacji przetwarzania danych jest niezbędne w ocenie administratora danych, a także proporcjonalne w stosunku do celu w jakim ma być prowadzone.

W praktyce do tego typu analiz obligował administratorów danych już w przeszłości Generalny Inspektor Ochrony Danych Osobowych. Świetnym tego typu przykładem były kontrole ówczesnego organu u pracodawców, którzy stosowali biometrię jako środki bezpieczeństwa w swoich zakładach pracy - kontrolą były wówczas obejmowane między innymi sytuacje, w których pracodawcy wymagali od pracowników używania linii papilarnych palców jako środka weryfikującego ich tożsamość przy wejściu do wybranych pomieszczeń. Wówczas organ analizował, czy stosowanie danych biometrycznych jest w takim wypadku proporcjonalne i niezbędne, skoro pracodawca mógłby na przykład wprowadzić czytniki magnetycznych kart dostępu do pomieszczeń zamiast czytników linii papilarnych (w kontekście celu stosowania tych rozwiązań - a więc kontroli dostępu do pomieszczeń i związanych z tym zasad bezpieczeństwa korzystanie z imiennych kart magnetycznych zazwyczaj okazuje się wystarczające, stosowanie więc danych biometrycznych w celach identyfikacyjnych nie jest niezbędne). Właśnie w ten sposób należy rozumieć dokonywanie oceny niezbędności i proporcjonalności.

Ocena skutków musi również zawierać wyniki przeprowadzonej oceny ryzyka, zgodnie z wymaganiami art. 24 RODO. Należy więc dokonać oceny prawdopodobieństwa naruszenia praw i wolności osób fizycznych, gdyby doszło do wprowadzenia do stosowania planowanej operacji przetwarzania danych, a także potencjalnych skutków tego naruszenia dla jednostki, gdyby do niego doszło. Łącznie określamy to mianem oceny ryzyka. Warto pamiętać, że ocenę ryzyka zobowiązany jest przeprowadzać każdy administrator danych również niezależnie od tego, czy jest zobligowany przeprowadzać ocenę skutków. W tym jednak przypadku w ocenie ryzyka skupiamy się na: tej konkretnej operacji przetwarzania danych oraz skutkach w postaci ryzyk jakie niesie ona ze sobą wobec jednostki (a nie np. wobec administratora danych).

Ostatni element oceny skutków to tak naprawdę wynik analizy wcześniejszych elementów. Musi on bowiem zawierać opis planowanych środków, których zastosowanie powinno "zaradzić" ustalonym ryzykom oraz zapewnić, że prawa i interesy jednostek będą uwzględnione. W pierwszej kolejności chodzi więc o środki bezpieczeństwa, które ograniczą ryzyko naruszenia ochrony danych osobowych. Ale wymagane jest również szerokie uwzględnienie praw osób fizycznych, na przykład analiza w jaki sposób administrator powinien dopełnić obowiązek informacyjny, o którym mowa w art. 13 i 14 RODO, aby osoby te były świadome sposobu przetwarzania ich danych osobowych, a także w jaki sposób administrator danych będzie realizował uprawnienia przysługujące osobom fizycznym, o których mowa w art. 15-22 RODO (o ile w danym przypadku będą miały zastosowanie - co również należy zweryfikować w ramach oceny skutków). Bardzo istotne jest również branie pod uwagę, w jaki sposób administrator danych będzie respektował podstawowe zasady przetwarzania danych, o których mowa w art. 5 RODO (w tym oczywiście kwestia legalności przetwarzania danych, zasada rozliczalności, czy też wcześniej przytaczana zasada celowości przetwarzania danych jak również powiązana z zasadą proporcjonalności, zasada minimalizmu przetwarzania danych).

Ocenę skutków przeprowadza administrator danych

Do przeprowadzania oceny skutków zobligowany jest wyłącznie administrator danych, a więc podmiot decydujący o sposobach i celach przetwarzania danych w ramach planowanej operacji. W tym kontekście do samodzielnego przeprowadzania oceny skutków nie są zobowiązane podmioty przetwarzające, o których mowa w art. 28 RODO. Podmioty te bowiem przetwarzają powierzone przez administratorów dane osobowe wyłącznie na ich udokumentowane polecenie.

Mogą one natomiast pomagać administratorom w przeprowadzaniu oceny skutków, w szczególności poprzez dostarczanie posiadanych informacji na temat charakterystyki przetwarzania danych w ramach planowanej operacji (np. wówczas gdy podmiot przetwarzający dostarcza usługi administratorowi związane z prowadzeniem operacji przetwarzania, wobec których należy przeprowadzić DPIA).

Ważne zdanie osób fizycznych oraz rola IOD'a

Art. 35 ust. 9 RODO wymaga, by administrator danych w ramach przeprowadzanego PIA „w stosownych przypadkach” zasięgał również opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania. Jeżeli administrator powołał Inspektora Ochrony Danych (IOD), osoba ta obligatoryjnie bierze udział w przeprowadzeniu oceny skutków dla ochrony danych i doradza w tym zakresie administratorowi danych.

DPIA dotyczy wyłącznie operacji rozpoczętych po 25 maja 2018 r.

Wymóg przeprowadzenia DPIA dotyczy wyłącznie operacji przetwarzania danych osobowych rozpoczętych
po dniu 25 maja 2018 r. (to jest po rozpoczęciu stosowania RODO).

Należy również mieć na względzie, że jedną oceną skutków można objąć jeden proces (operację) przetwarzania danych osobowych lub też kilka procesów, ale pod warunkiem że wszystkie te procesy (operacje) będą zbliżone pod względem wielkości potencjalnego ryzyka – co powinno wynikać m.in. z porównania charakteru, zakresu, kontekstu i celów przetwarzania danych.