17 czerwca 2019 roku został ogłoszony nowy komunikat Prezesa Urzędu Ochrony Danych Osobowych (w skrócie PUODO), w którym mowa jest o konieczności przeprowadzania oceny skutków planowanych operacji przetwarzania danych. W jakich sytuacjach jest to konieczne i co to oznacza?
Ocena skutków przetwarzania danych (DPIA) to proces, który pozwoli ocenić, czy przy wykonywaniu operacji na danych może nastąpić ryzyko naruszenia praw osoby, której dotyczy przetwarzanie. Ryzykiem jest na przykład kradzież tożsamości, szkoda finansowa i wizerunkowa, dyskryminacja czy naruszenie tajemnicy zawodowej. Naruszenie praw jest szczególnie prawdopodobne przy przetwarzaniu danych za pomocą nowych technologii, czyli przetwarzania zautomatyzowanego.
Jeśli administrator danych podejrzewa, że przetwarzanie danych niesie jakiekolwiek ryzyko, ma obowiązek przed rozpoczęciem przetwarzania wykonać ocenę skutków przyszłych działań. Działanie to jest zgodne z art. 35, ustawy o RODO:
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Zazwyczaj to administrator danych decyduje, kiedy należy przeprowadzić DPIA. Jednak są sytuacje, w których przeprowadzenie oceny skutków jest obowiązkowe. Należą do nich:
„Duża skala” nie jest jednoznacznie określona przez RODO. Jeśli chcemy określić czy przetwarzanie występuje na dużą skalę, musimy wziąć pod uwagę nie tylko liczbę osób, ale także ich procent. Dodatkowo ważny jest również zakres przetwarzania danych, okres przez jaki będą przeprowadzane działania oraz zakres geograficzny. Przykładem dużej skali może być przetwarzanie danych klientów przez banki w ramach prowadzonej działalności.
O tym, co powinna zawierać ocena skutków, mówi się w art. 35 ust. 7 RODO. Powinna ona zawierać co najmniej:
RODO ma na celu ochronę danych osobowych, a wprowadzenie oceny skutków przetwarzania danych osobowych pozwala nam na większe poczucie bezpieczeństwa. Dzięki temu minimalizujemy ryzyko przetwarzania danych z naruszeniem RODO.