top of page
laptop na biurku

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Zdjęcie autoraMichał Nosowski

Ocena skutków dla ochrony danych – kiedy trzeba ją sporządzić i czym różni się od analizy ryzyka?


człowiek z robotyczną ręką piszący na laptopie

RODO każe nam samodzielnie oceniać różne rzeczy. Ważnym elementem tej oceny jest sprawdzenie tego czy dane osobowe, które przetwarzamy, są bezpieczne. To tak zwane podejście oparte na ryzyku (risk based approach), zgodnie z którym to na administratorze lub podmiocie przetwarzającym dane osobowe ciąży obowiązek oceny,  jakie ryzyka wiążą się z przetwarzaniem danych osobowych.


Ryzyko w rozumieniu RODO jest ściśle związane z osobą, której dane są przetwarzane i to z perspektywy tej osoby (i jej praw albo ewentualnych szkód, które może ponieść) należy je oceniać.  W motywie 73 RODO koncepcję tę opisano w następujący sposób:


Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych.

 

RODO wyróżnia dwa procesy służące do dokonania oceny ryzyka:

  • pierwszym jest "standardowa" analiza ryzyka (art. 32 RODO), która powinna być dokonywana zawsze gdy mamy do czynienia z przetwarzaniem danych osobowych,

  • drugim jest ocena skutków dla ochrony danych (art. 35 RODO), która jest wymagana w szczególnych przypadkach, gdy sam charakter przetwarzania danych jest taki, że może łączyć się z jakimiś znacznymi ryzykami dla osób, których dane dotyczą.


Na czym polegają i czym się różnią?

 

Analiza ryzyka


O analizie ryzyka pisałem już na blogu wcześniej. Link do artykułu jest tutaj: Analiza ryzyka zgodna z przepisami RODO.


W treści tamtego wpisu opisałem na czym analiza ryzyka dokładnie polega i jakie są jej cele. W skrócie można powiedzieć, że analiza ryzyka obejmuje:

  • zidentyfikowanie przez administratora/procesora zagrożeń, które mogą wystąpić w związku z przetwarzaniem danych osobowych, a następnie

  • przyjęcie stosownych środków bezpieczeństwa, aby tym zagrożeniom zapobiec.


Ale to nie wszystko. W niektórych sytuacjach RODO wymaga od nas przeprowadzenia dodatkowej analizy, czyli właśnie oceny skutków dla ochrony danych.


futurystyczny człowiek

 

Ocena skutków ochrony danych – o co w niej chodzi?


RODO wskazuje, że ocenę skutków dla ochrony danych osobowych musimy przeprowadzić w sytuacji gdy dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.


To niewiele nam mówi. Widzimy tylko, że są jakieś operacje przetwarzania danych, które z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.


I taka sytuacja może zaistnieć zwłaszcza w przypadku gdy przetwarzanie danych wiąże się z wykorzystaniem nowych technologii.


Natomiast to oczywiście nie znaczy, że każda sytuacja gdy przetwarzamy dane osobowe z wykorzystaniem nowych technologii będzie łączyła się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.


Chodzi tu na przykład o operacje przetwarzania, danych które:

  • ponadstandardowo ingerują w prywatność osoby,

  • mają na nią znaczny wpływ,

  • łączyłyby się ze znacznymi negatywnymi sytuacjami, gdyby dane wyciekły lub zostały utracone.


Tym samym, nie każdy rodzaj przetwarzania będzie wymagał przeprowadzenia DPIA. Szczególną uwagę należy zwrócić, jeżeli przetwarzanie odbywa się z użyciem nowych technologii, a dodatkowo:

  • jeżeli dokonujemy oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu (w tym profilowaniu) i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w inny sposób ma znaczący wpływ na daną osobę;

  • w razie przetwarzania na dużą skalę szczególnych kategorii danych osobowych (czyli takich, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, również dane genetyczne, biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej) lub danych dotyczących wyroków skazujących i czynów zabronionych;

  • gdy dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

W takich przypadkach, jeżeli spełnione jest chociaż jedno kryterium należy przeprowadzić DPIA.

Dodatkowo, Prezes Urzędu Ochrony Danych Osobowych opublikował wykaz operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania danych. Wykaz ten jest dość rozbudowany i wskazuje np. na takie operacje jak:

  • profilowanie użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej,

  • ocena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji, objęta obowiązkiem zachowania tajemnicy i żądanie ujawnienia danych niemających bezpośredniego związku z oceną zdolności kredytowej,

  • systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, automatycznego ustalania cen promocyjnych w oparciu o profil

  • Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym w urządzeniach zintegrowanych z mundurem, kaskiem lub w inny sposób połączonych z osobą pozyskującą dane - o ile obejmują systematyczne monitorowanie osób i jest realizowane na dużą skalę,

  • przetwarzanie danych, w których dokonuje się klasyfikacji lub ocen osób, których dane dotyczą, pod względem np. wieku, płci, a następnie klasyfikacje te wykorzystuje się do przedstawienia ofert lub innych działań, które mogą mieć wpływ na prawa lub wolność osób, których dane są przetwarzane,

  • systemy stosowane do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń przenośnych typu: smartwatch, inteligentne opaski, beacony itp. analizujące i przekazujące dane dostawcom przy użyciu aplikacji mobilnych.


Cała lista dostępna jest tutaj.


Prezes UODO wskazuje w swoim wykazie, że generalnie podejmowanie co najmniej dwóch z opisanych tam czynności wymaga przeprowadzenia oceny skutków dla ochrony danych. Zastrzega jednocześnie, że niekiedy nawet jedna czynność będzie na tyle ingerująca w prywatność osoby, że będziemy musieli przeprowadzić ocenę skutków dla ochrony danych. To oznacza, że i tak sami musimy ocenić czy powinniśmy przeprowadzić taką analizę czy nie.


korytarz na statku kosmicznym

Jak przeprowadzić ocenę skutków?


Ocena skutków ochrony danych (data protection impact assessment, DPIA) to proces, który polega na szacowaniu wpływu podjętych działań przetwarzania na ochronę danych osobowych.


Wyniki dokonanej oceny mają służyć administratorowi do określenia odpowiednich środków, które należy zastosować, by przetwarzać dane osobowe zgodnie z RODO.


Proces ten powinien być przeprowadzony przed rozpoczęciem przetwarzania danych osobowych - na etapie planowania i projektowania.


RODO nie wskazuje jak dokładnie ma wyglądać ocena skutków ochrony danych, zostawia to do decyzji administratora. Przepisy wskazują jedynie minimalne wymogi,  co do jej treści, zgodnie z którymi DPIA powinna zawierać:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie - prawnie uzasadnionych interesów realizowanych przez administratora;

  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.


Niektóre z tych elementów mogą być opracowane również na etapie przygotowania analizy ryzyka.


Ocena skutków ochrony danych jest jednak bardziej rozbudowana i szczegółowa oraz w większym stopniu koncentruje się na zminimalizowaniu niepożądanych skutków przetwarzania.


Warto pamiętać o tym, że ocena skutków dla ochrony danych musi być udokumentowana - w przypadku ewentualnej kontroli Urzędu musimy bowiem być w stanie udowodnić, że ją rzetelnie przeprowadziliśmy (oczywiście jeśli jesteśmy do tego zobowiązani).

Co ciekawe, w niektórych przypadkach administrator ma możliwość zasięgnięcia opinii osób, których przetwarzane dane dotyczą lub ich przedstawicieli. Korzystanie  z tej opcji może okazać się pomocne, jeżeli chcemy poznać spojrzenie osób na czynności, które są związane z przetwarzaniem ich danych oraz uznamy, że opinie te mogą mieć istotny wpływ na ocenę skutków.


Co jeśli nie przeprowadzę DPIA? Skutki nieprzeprowadzenia oceny skutków, gdy jest ona wymagana może mieć dotkliwe konsekwencje, m.in. w postaci wysokiej kary pieniężnej.

 

Podsumowanie


Analiza ryzyka i ocena skutków dla ochrony danych, choć pozornie mogą wydawać się zbliżone, znacznie się różnią Analiza ryzyka jest punktem wyjścia do dalszych działań i na jej podstawie ustala się, czy istnieje potrzeba przeprowadzenia DPIA.


Jeżeli masz jakieś wątpliwości lub potrzebujesz pomocy przy przeprowadzeniu analizy ryzyka lub oceny skutków skontaktuj się z nami, wysyłając maila na adres kontakt@bytelaw.pl albo korzystając z formularza kontaktowego.



Comments


michał nosowski

Nazywam się Michał Nosowski i jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT oraz prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

Masz jakieś pytania? Możesz się ze mną skontaktować przez poniższy formularz

Wiadomość przesłana! Dziękuję :)

bottom of page