RODO: ocena skutków dla ochrony danych osobowych – wytyczne grupy roboczej

RODO: Obowiązkowa Ocena Skutków dla Ochrony Danych Osobowych

RODO: Obowiązkowa Ocena Skutków dla Ochrony Danych Osobowych

RODO wprowadziło m.in. obowiązek przeprowadzania w określonych sytuacjach oceny skutków dla ochrony danych osobowych (dalej: Ocena Skutków). Poniżej przedstawiamy wytyczne Grupy Roboczej Art. 29 mówiące o tym, czym jest ocena skutków dla ochrony danych osobowych, na czym powinna polegać i w jakich przypadkach należy ją sporządzić.

Czym jest Ocena Skutków?

RODO co prawda nie zawiera oficjalnej definicji pojęcia Oceny Skutków, jednakże z treści art. 35 ust. 7 RODO można wywnioskować, iż przez Ocenę Skutków należy rozumieć proces opisujący planowane przetwarzanie, oceniający jego celowość i proporcjonalność oraz służący do określenia i zarządzania ryzykiem dla praw i wolności osób, których dane dotyczą.

Ocena Skutków pomaga zatem administratorom oraz podmiotom przetwarzającym dane osobowe udowodnić, iż przetwarzanie danych osobowych następuje z uwzględnieniem stosownych regulacji prawnych. Należy przy tym pamiętać, iż zarówno brak sporządzenia Oceny Skutków, jak i wadliwe jej przygotowanie, a także brak konsultacji z organem nadzorczym, pomimo stosownego obowiązku, może skutkować karą w wysokości do 10 milionów Euro lub 2% światowego obrotu przedsiębiorstwa z roku ubiegłego.

Czego dotyczy Ocena Skutków

Ocena Skutków dotyczy procesu przetwarzania danych osobowych, przy czym może się ona odnosić zarówno do pojedynczej operacji przetwarzania, jak i do kilku podobnych procesów.

Oznacza to, iż przygotowując jedną Ocenę Skutków można nią objąć kilka operacji przetwarzania, które są podobne z uwagi na ryzyko, jeżeli zostaną uwzględnione specyfika, zakres, kontekst i cel przetwarzania. Zdaniem Grupy Roboczej Art. 29 może to obejmować przypadki, w których ta sama technologia jest wykorzystywana do przetwarzania tego samego rodzaju danych osobowych, w tym samym celu (np. kolej stosująca monitoring na wszystkich stacjach kolejowych może wykonać tylko jedną Ocenę Skutków obejmującą wszystkie stacje kolejowe).

W przypadku gdy jedna Ocena Skutków jest przygotowywana wspólnie przez kilka różnych podmiotów, indywidualne obwiązki każdego z nich powinny być jasno określone i rozgraniczone. Ponadto z Oceny Skutków powinno jasno wynikać, jakie kroki muszą zostać podjęte przez każdy podmiot z osobna.

Dla jakich procesów przetwarzania należy wykonać Ocenę Skutków?

Zgodnie z RODO wykonanie Oceny Skutków nie jest konieczne za każdym razem gdy istnieje ryzyko dla praw i wolności osób fizycznych, a jedynie, gdy to ryzyko jest wysokie.

Pomimo tego, iż pojęcie "wysokiego ryzyka" nie zostało dokładnie zdefiniowane, w art. 35 ust. 5 podano przykłady sytuacji, w których przetwarzanie może skutkować wysokim ryzykiem dla praw i wolności i w związku z tym wykonanie Oceny Skutków będzie obowiązkowe.

Zgodnie z RODO Ocena Skutków będzie wymagana w przypadku:

1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Należy przy tym zauważyć, iż ww. katalog nie jest katalogiem zamkniętym. W praktyce może dojść do wielu sytuacji, w których wykonanie Oceny Skutków będzie konieczne, a które nie zostały wymienione w powyższym zestawieniu.

W związku z powyższym, chcąc przedstawić bardziej rozbudowaną listę procesów przetwarzania, które będą wymagały przeprowadzenia Oceny Skutków, Grupa Robocza Art. 29 podała szereg kryteriów, które pozwolą zidentyfikować takie procesy. Do ww. kryteriów należą:

1) Ocena lub punktacja, w tym profilowanie oraz wnioskowanie, w szczególności w oparciu o dane osobowe dotyczących wyników w pracy, sytuacji ekonomicznej, stanu zdrowia, upodobań lub zainteresowań, zachowania, miejsca pobytu, czy też przemieszczania się podmiotu (np. bank dokonujący analizy zdolności kredytowej w oparciu o historię finansową klienta);

2) Zautomatyzowane podejmowanie decyzji o znaczeniu prawnym lub podobnym;

3) Systematyczne monitorowanie (np. prowadzenie monitoringu stacji kolejowej lub ulicy);

4) Dane wrażliwe w rozumieniu Art. 9 RODO oraz inne dane, które mogą zwiększać ryzyko w przypadku przetwarzania (np. dane finansowe, dane dotyczące przemieszczania się określonej osoby);

5) Dane przetwarzane na dużą skalę (przez przetwarzanie na dużą skalę należy rozumieć przetwarzanie, które dotyczy znaczącej części populacji, obejmuje dużą ilość i/lub szeroki zakres danych, jest długotrwałe albo obejmuje znaczący obszar geograficzny);

6) Zestawy danych zostały dopasowane lub połączone (np. z dwóch lub więcej operacji przetwarzania danych wykonywanych w różnych celach i / lub przez różnych administratorów w sposób przekraczający uzasadnione oczekiwania osoby, której dane dotyczą);

7) Przetwarzanie danych osób narażonych, tj. osób, które z uwagi na brak równowagi pomiędzy nimi, a administratorem, mogą nie być w stanie wyrazić sprzeciwu na przetwarzanie ich danych osobowych (np. pracownicy w związku z przetwarzaniem ich danych przez dział personalny);

8) Innowacyjne wykorzystanie lub stosowanie rozwiązań technologicznych lub organizacyjnych, takich jak połączenie użycia odcisków palców lub rozpoznawanie twarzy w celu poprawy fizycznej kontroli dostępu;

9) Przesyłanie danych poza granice Unii Europejskiej;

10) Kiedy przetwarzanie samo w sobie uniemożliwia osobom, których dane są przetwarzane korzystanie z określonych praw lub korzystanie z określonych usług lub umów;

Zgodnie z zaleceniami Grupy Roboczej Art. 29 wykonanie Oceny Ryzyka będzie konieczne jeżeli przetwarzanie będzie wypełniało przynajmniej dwa z ww. kryteriów.

Należy jednak pamiętać, iż mogą zaistnieć sytuacje, w których wykonanie Oceny Ryzyka będzie konieczne nawet w przypadku spełniania tylko jednego z ww. kryteriów. Może również się zdarzyć, iż przetwarzanie będzie co prawda wypełniało co najmniej dwa kryteria, jednakże ryzyko dla praw i wolności będzie niskie, nie będzie trzeba wykonywać Oceny Ryzyka.

W jakich sytuacjach wykonanie Oceny Skutków nie będzie konieczne?

Wykonanie Oceny Skutków nie będzie konieczne jeżeli:

1) przetwarzanie nie będzie skutkowało wysokim ryzykiem dla praw i wolności osób fizycznych;

2) charakter, zakres, kontekst i cele przetwarzania są bardzo podobne do przetwarzania, dla którego przeprowadzono już Ocenę Skutków. W takich przypadkach można wykorzystać wyniki Oceny Skutków do podobnego przetwarzania;

3) W przypadku gdy operacja przetwarzania ma podstawę prawną w prawie Unii lub w państwie członkowskim;

Jeśli przetwarzanie znajduje się na liście fakultatywnej (ustanowionej przez organ nadzoru) operacji przetwarzania, dla których nie jest wymagana Ocena Skutków.

Ocena Skutków a przetwarzanie wszczęte przed obowiązywaniem RODO

Co do zasady wymóg przeprowadzenia Oceny Skutków dotyczy operacji przetwarzania spełniających kryteria określone w art. 35 RODO i rozpoczętych po tym, jak RODO zacznie obowiązywać w dniu 25 maja 2018 r.

Niemiej jednak Grup Robocza Art. 29 zaleca wykonywanie Oceny Ryzyka jeszcze przed majem 2018 roku, zwracając jednocześnie uwagę na obowiązek ponownego przeprowadzania Oceny Ryzyka w  razie potrzeby, a przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania.

Do zmiany ryzyka może dojść w wyniku zmiany jednego z elementów operacji przetwarzania danych (danych, zasobów pomocniczych, źródeł ryzyka, potencjalnych oddziaływań, zagrożeń itp.) lub ponieważ kontekst przetwarzania (cel, funkcjonalność itp.) uległ zmianie.

W związku z powyższym Grupa Robocza Art. 29 zaleca wykonywanie Oceny Skutków co najmniej raz na trzy lata lub częściej, jeżeli okoliczności przetwarzania tego wymagają.

Ocena Skutków a inne obowiązki

W razie konieczności wykonania Oceny Skutków należy pamiętać o tym, iż administrator jest zobowiązany do prowadzenia dokumentacji czynności związanych z przetwarzaniem, w tym między innymi w celu przetwarzania, opisu kategorii danych i odbiorców danych oraz, w miarę możliwości, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Jednocześnie administrator musi ocenić, czy istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka, nawet jeśli ostatecznie zdecyduje się nie wykonywać Oceny Skutków.

Ponadto, jeżeli Ocena Skutków wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator musi skonsultować się z organem nadzorczym.

Intek Kancelaria Adwokacka

ika-legal

© 2023 IKA Legal. Wszelkie prawa zastrzeżone.

Strona wspierana motywem Motyw Franz Josef i Wordpress.