Type to search

Ocena skutków planowanych operacji przetwarzania danych

17 czerwca 2019 roku został ogłoszony nowy komunikat Prezesa Urzędu Ochrony Danych Osobowych (w skrócie PUODO), w którym mowa jest o konieczności przeprowadzania oceny skutków planowanych operacji przetwarzania danych. W jakich sytuacjach jest to konieczne i co to oznacza?

Czym jest ocena skutków przetwarzania danych

Ocena skutków przetwarzania danych (DPIA) to proces, który pozwoli ocenić, czy przy wykonywaniu operacji na danych może nastąpić ryzyko naruszenia praw osoby, której dotyczy przetwarzanie. Ryzykiem jest na przykład kradzież tożsamości, szkoda finansowa i wizerunkowa, dyskryminacja czy naruszenie tajemnicy zawodowej. Naruszenie praw jest szczególnie prawdopodobne przy przetwarzaniu danych za pomocą nowych technologii, czyli przetwarzania zautomatyzowanego.

Jeśli administrator danych podejrzewa, że przetwarzanie danych niesie jakiekolwiek ryzyko, ma obowiązek przed rozpoczęciem przetwarzania wykonać ocenę skutków przyszłych działań. Działanie to jest zgodne z art. 35, ustawy o RODO:

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Kiedy należy przeprowadzić ocenę skutków przetwarzania danych osobowych?

Zazwyczaj to administrator danych decyduje, kiedy należy przeprowadzić DPIA. Jednak są sytuacje, w których przeprowadzenie oceny skutków jest obowiązkowe. Należą do nich:

  • gdy Prezes Urzędu Ochrony Danych Osobowych zarządzi wykaz rodzajów operacji przetwarzania;
  • gdy dane przetwarzane są automatycznie, bez udziału człowieka, a przetwarzanie lub profilowanie może wywołać skutki prawne wobec osoby fizycznej lub doprowadzić do innych działań, które wpłyną bezpośrednio na tę osobę;
  • przetwarzanie danych na dużą skalę kategorii danych osobowych, o których mowa w art. 9 ust. 1 lub art.10 (o przetwarzaniu danych dotyczących wyroków skazujących i naruszeń prawa;
  • regularne monitorowanie na dużą skalę miejsc dostępnych publicznie
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu
  • Przetwarzanie danych genetycznych, na przykład w laboratorium
  • Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków  skazujących oraz czynów zabronionych

„Duża skala” nie jest jednoznacznie określona przez RODO. Jeśli chcemy określić czy przetwarzanie występuje na dużą skalę, musimy wziąć pod uwagę nie tylko liczbę osób, ale także ich procent. Dodatkowo ważny jest również zakres przetwarzania danych, okres przez jaki będą przeprowadzane działania oraz zakres geograficzny. Przykładem dużej skali może być przetwarzanie danych klientów przez banki w ramach prowadzonej działalności.

Jak przeprowadzić ocenę skutków przetwarzania danych osobowych

O tym, co powinna zawierać ocena skutków, mówi się w art. 35 ust. 7 RODO. Powinna ona zawierać co najmniej:

  • ocenę, czy operacja przetwarzania danych jest jest niezbędne i proporcjonalne w stosunku do celów;
  • ocenę, czy istnieje ryzyko naruszenia praw lub wolności osoby, których dotyczy przetwarzania. Administrator w takiej sytuacji powinien odpowiedzieć na pytania:
  • jaki rodzaj naruszenia może wystąpić,
  • z czego wynika zagrożenie,
  • jakie jest prawdopodobieństwo ryzyka,
  • jaki jest poziom ryzyka w skali od 1 do 3,
  • jak zminimalizować ryzyko,
  • opis planowanych operacji oraz celów ich przetwarzania;
  • sposoby, które zmniejszają powstawanie ryzyka oraz zabezpieczenia, które zapewnią prawidłową ochronę danych osobowych.

RODO ma na celu ochronę danych osobowych, a wprowadzenie oceny skutków przetwarzania danych osobowych pozwala nam na większe poczucie bezpieczeństwa. Dzięki temu minimalizujemy ryzyko przetwarzania danych z naruszeniem RODO.

Źródło: ISecure – eksperci w ochronie danych osobowych

Leave a Comment

Your email address will not be published. Required fields are marked *