Jakiś czas temu pisałem o tym w jakich sytuacjach należy dokonać oceny skutków dla ochrony danych osobowych. Ocena skutków to taka specjalna analiza przetwarzania danych osobowych, którą należy przeprowadzić w sytuacji gdy operacje na danych osobowych wiążą się z podwyższonym ryzykiem naruszenia praw i wolności osób, których dane dotyczą.
Niestety w praktyce stwierdzenie, czy dana organizacja (np. przedsiębiorstwo) musi przeprowadzić ocenę skutków dla ochrony danych mogło być dla niektórych dość problematyczne. Kryteria ustalenia takiej konieczności nie były bowiem ścisłe i pozostawiały spore pole do interpretacji. Na szczęście, aby pomóc w jednoznacznym stwierdzeniu czy konieczne jest stworzenie takiego dokumentu, RODO nałożyło na organ nadzorczy (czyli u nas na Prezesa Urzędu Ochrony Danych Osobowych) obowiązek stworzenia wykazu operacji przetwarzania, które wymagają przeprowadzenia oceny skutków dla ochrony danych.
I nasz Prezes Urzędu Ochrony Danych Osobowych opublikował taki wykaz. Można się z nim zapoznać w Monitorze Polskim. Link jest tutaj.
Z uwagi na to, że wykaz jest dość czytelny, nie będę przepisywał całego na blogu. Stwierdziłem, że napisze kilka słów o tych podmiotach, co do których było najwięcej wątpliwości co do dokonywania oceny skutków dla ochrony danych – ze szczególnym uwzględnieniem tych firm, które działają w Internecie. Poniżej kilka przykładów sytuacji, gdy powinniśmy sporządzić ocenę skutków dla ochrony danych.
Analiza informacji w celu wysyłania spersonalizowanych reklam
Ocena skutków dla ochrony danych jest niezbędna gdy przedsiębiorca przeprowadza ewaluację lub ocenę, w tym profilowanie i przewidywanie (analizę behawioralną) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych. Może to obejmować np. profilowanie użytkowników portali społecznościowych i innych aplikacji w celach wysyłania niezamówionej informacji handlowej (spamu), prowadzonej przez media społecznościowe, firmy marketingowe albo firmy headhunterskie. Innymi słowy, jeśli jakiś podmiot analizuje informacje zamieszczane przez użytkowników portali społecznościowych po to, aby wysyłać im spersonalizowane reklamy – powinien przeprowadzić ocenę skutków dla ochrony danych.
Analiza zachowań klientów w ramach programów lojalnościowych
Prezes Urzędu uznał, że dokonanie oceny skutków jest wymagane w przypadku prowadzenia zautomatyzowanego podejmowania decyzji wywołującego skutki prawne, finansowe lub podobne istotne skutki, przykładowo w ramach użycia systemów profilowania klientów pod kątem zidentyfikowania preferencji zakupowych czy też automatycznego ustalania cen promocyjnych w oparciu o profil. Może to być przeprowadzane przez sklepy internetowe oferujące ceny promocyjne dla określonych grup klientów lub firmy obsługujące programy lojalnościowe (wspólnoty zakupowe). Jeżeli więc mamy do czynienia z programami lojalnościowymi, w ramach których sklep podejmuje decyzje dot. cen produktów lub usług oferowanych dla klientów (uczestników programu lojalnościowego) lub w inny sposób przyznają rabaty na podstawie zaobserwowanych w Internecie zachowań klientów, twórcy tych programów powinni przeprowadzić ocenę skutków dla ochrony danych. Samo monitorowanie zakupów (o czym w innej części wykazu) i preferencji zakupowych również powinno być poprzedzone dokonaniem oceny skutków dla ochrony danych.
Monitorowanie czasu pracy pracowników, monitorowanie korzystania z poczty elektronicznej
Ten punkt jest szczególnie istotny. Pojęcie monitoringu na dużą skalę zostało tu zinterpretowane bardzo szeroko i dodatkowe obowiązki zostały na dużą część przedsiębiorców. Podejrzewam, że zapis ten wywoła jeszcze dyskusję wśród osób, które zajmują się ochroną danych osobowych – w szczególności pod kątem przetwarzania danych pracowników Dlaczego? Prezes Urzędu wskazuje, że dokonania oceny skutków wymaga systematyczne monitorowanie na dużą skale miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni (…). Przykładem takiego działania, zdaniem organu nadzorczego, są również systemy monitorowania czasu pracy pracowników oraz wykorzystywanych przez nich narzędzi (poczty elektronicznej, Internetu), wykorzystywane w zakładach pracy (obejmujące monitoring systemów informatycznych). Podkreśla przy tym możliwą nieświadomość pracowników w zakresie monitorowania ich poczty elektronicznej, używania aplikacji, kart dostępowych itp.
Muszę tutaj wskazać, że obowiązek informowania pracowników o stosowaniu monitoringu poczty elektronicznej wynika wprost z Kodeksu pracy (przepis art. 22(3) § 3 K.p. w związku z przepisem art. 22(2)§ 7 K.p.). Wydaje się więc, że nieświadomość, którą ma na myśli Prezes Urzędu to nie brak poinformowania, ale brak rzeczywistej znajomości ewentualnych konsekwencji monitoringu poczty elektronicznej pracownika. Co więcej, stosowanie systemów monitorowania czasu pracy również wiąże się z koniecznością stworzenia oceny skutków dla ochrony danych. Pojawia się pytanie, czy chodzi o wszystkie systemy monitorowania czasu pracy, wykorzystujące narzędzia informatyczne? Jeżeli bowiem wejście i wyjście pracowników na teren zakładu pracy jest odnotowywane na serwerze przedsiębiorstwa i na tej podstawie ustalane jest to, ile czasu przepracował dany pracownik, to stanowi to system monitorowania czasu pracy, a tym samym konieczne jest przeprowadzenie oceny skutków dla ochrony danych. Zapisywanie czasu pracy pracowników w ramach systemów informatycznych optymalizujących pracę w ramach przedsiębiorstwa (umożliwiających np. weryfikację ile czasu pracownik poświęcił na dane zadanie) powinno również skutkować, zdaniem Prezesa Urzędu, przeprowadzeniem ceny skutków dla ochrony danych.
Przetwarzanie danych wrażliwych
Stworzenie oceny skutków dla ochrony danych jest konieczne w sytuacji przetwarzania szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych, prowadzonych m.in. przez portale i inne systemy informatyczne oferowane osobom fizycznym do przetwarzania informacji obejmujących działania o charakterze czysto osobistym lub domowym (jak np. usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcje robienia notatek oraz różne aplikacje typu „life-logging”, które mogą zawierać informacje o bardzo osobistym charakterze), których ujawnienie lub przetwarzanie do celów innych niż czynności o charakterze domowym może być uznane za bardzo ingerujące w prywatność. Obejmuje to m.in. usługi poczty elektronicznej, systemy monitoringu osiągnięć sportowych współpracujące z opaskami typu fitness wykorzystujące chmurę obliczeniową,aplikacje dostarczane przez producentów czytników elektronicznych do zakupu książek, gazet elektronicznych z funkcjami robienia notatek itp. Czyli tam gdzie umożliwiamy użytkownikom różnych aplikacji zapisywanie informacji o sobie samych (albo ich przesyłanie, np. w ramach wiadomości e-mail), powinniśmy stworzyć ocenę skutków dla ochrony danych.
Łączenie różnych zbiorów danych
Dokonanie oceny skutków jest wymagane w przypadku przeprowadzania porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł, obejmujące np. tworzenie profili osób ze zbiorów danych pochodzących z różnych źródeł (łączenie zbiorów), prowadzone np. przez firmy marketingowe w celach doskonalenia i rozszerzania profili potencjalnych klientów oraz doskonalenia usług reklamy ukierunkowanej na określone grupy społeczne, firmy obsługujące programy lojalnościowe (wspólnoty zakupowe). Innymi słowy, tam gdzie zbieramy dane z różnych źródeł (np. w Internecie, w tym z publicznie dostępnych rejestrów) a następnie tworzymy jeden własny zbiór, który służy nam do realizacji naszych celów (gospodarczych, marketingowych itp.) – musimy stworzyć ocenę skutków dla ochrony danych osobowych.
Muszę przyznać, że Prezes Urzędu Ochrony Danych Osobowych zajął dość rygorystyczne stanowisko w przedmiocie tworzenia oceny skutków dla ochrony danych osobowych – w szczególności w zakresie przetwarzania danych w ramach programów lojalnościowych, kierowania do użytkowników Internetu spersonalizowanych reklam czy też monitorowania czasu pracy pracowników. Być może lista zostanie jeszcze zaktualizowana i pewne wskazówki ulegną zmianie. Na razie trzeba jednak przeprowadzać ocenę skutków dla ochrony danych przed rozpoczęciem poszczególnych operacji przetwarzania, wiążących się z dokonywaniem działań opisanych powyżej. Szczęśliwie ocena skutków dla ochrony danych jest dokumentem, którego stworzenie nie jest niewykonalne – pomimo tego, iż niektórzy bardzo się obawiają przeprowadzania tak głębokiej analizy swoich działań.
