Administrator oceni skutki przetwarzania danych

Materiał powstał we współpracy z firmą Sage

Rozporządzenie o ochronie danych osobowych (RODO) wprowadza na podstawie art. 35 ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang.: data protection impact assessment, DPIA). To nowy obowiązek, który ciąży na administratorze danych osobowych (ADO).

Niektóre rodzaje przetwarzania danych osobowych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W takiej sytuacji administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Grupa robocza art. 29 w wytycznych dotyczących DPIA określa „ryzyko” jako scenariusz opisujący zdarzenie i konsekwencje, oszacowany pod względem powagi i prawdopodobieństwa ryzyka. Natomiast – „zarządzanie ryzykiem” definiuje jako skoordynowane działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod względem ryzyka.

Proces oceny skutków dla ochrony danych powinien zawierać co najmniej:

1) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora (jeżeli służy ona ich realizacji);

2) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz

4) środki planowane w celu zaradzenia ryzyku, w tym mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia RODO.

W praktyce prawdopodobnie przed zakończeniem oceny skutków dla ochrony danych każdy z etapów będzie wielokrotnie powtarzany.

To ważne narzędzia służące do realizacji celu rozliczalności: DPIA pomaga ADO nie tylko w przestrzeganiu wymogów RODO, ale również w wykazaniu, że podjęto odpowiednie środki w celu zapewnienia zgodności z rozporządzeniem.

Przeprowadzenie DPIA jest więc obowiązkowe, gdy operacje przetwarzania obejmują w szczególności:

– zastosowanie nowych technologii,

– są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych,

– stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.

Istnieją też szczególne przypadki. Firma A oferuje swoim klientom system monitoringu wizyjnego, obejmujący też miejsca publiczne; firma B świadczy usługi przetwarzania danych osobowych pacjentów szpitala zawarte w ich dokumentacji medycznej; z kolei firma C realizuje usługi profilowania klientów w sklepach internetowych, portalach internetowych. Każdy z tych podmiotów będzie zobowiązany do przeprowadzenia DPIA – ich działania odpowiadają wskazanym w RODO kategoriom przetwarzania danych podlegającym szczególnej analizie, to jest gdy:

– administrator dokonuje systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco na nią wpływających;