Ocena skutków dla ochrony danych w świetle ogólnego rozporządzenia o ochronie danych osobowych

Czym jest ocena skutków dla ochrony danych?

Rozporządzenie 2016/679 nie definiuje oceny skutków dla ochrony danych (ang. data protection impact assessment – w skrócie „DPIA”). Wskazuje jedynie, kiedy jest ona wymagana, w którym momencie powinna być przeprowadzona oraz z jakich elementów powinna się składać. Próbę zdefiniowania DPIA podjęła Grupa Robocza art. 29 w swoich wytycznych, definiując ocenę skutków dla ochrony danych jako proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu wynikającym z przetwarzania danych osobowych ryzykiem naruszenia praw lub wolności osób fizycznych poprzez ocenę ryzyka i ustalenie środków mogących mu zaradzić.

Kiedy taka ocena powinna być przeprowadzona?

Zgodnie z art. 35 RODO administrator dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Co ważne artykuł ten wskazuje również dokładnie, w którym momencie taka ocena powinna być przeprowadzona. Administrator zobowiązany na podstawie powołanego artykułu do przeprowadzenia DPIA musi to zrobić jeszcze przed rozpoczęciem przetwarzania. Dany rodzaj przetwarzania, jeżeli spełnia przesłanki z artykułu 35, nie może się więc rozpocząć bez dokonania takiej oceny. Przy czym należy pamiętać, że nie każdy rodzaj przetwarzania wymaga przeprowadzenia DPIA.

Jakie rodzaje przetwarzania wymagają przeprowadzenia oceny skutków dla ochrony danych?

W ust. 3 art. 35 RODO wskazano rodzaje przetwarzania, dla których przeprowadzenie skutków dla ochrony danych jest obowiązkowe. DPIA jest wymagana w szczególności przypadku:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych,
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Należy zwrócić uwagę, że ustawodawca unijny posłużył się przy tym wyliczeniu zwrotem „w szczególności” co oznacza, iż powyższe rodzaje przetwarzania wymagające DPIA stanowią katalog otwarty. Organ nadzorczy – w Polsce Prezes Urzędu Ochrony Danych –  ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Niedawno, bo 8 lipca 2019 r. w Monitorze Polskim został ogłoszony najnowszy Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

W wykazie tym znalazły się m. in. takie rodzaje operacji przetwarzania jak przetwarzanie danych genetycznych czy przetwarzanie danych lokalizacyjnych.

Warto zapamiętać!

Ocena skutków dla ochrony danych (DPIA) to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu wynikającym z przetwarzania danych osobowych ryzykiem naruszenia praw lub wolności osób fizycznych poprzez ocenę ryzyka i ustalenie środków mogących mu zaradzić.

Administrator dokonuje oceny skutków dla ochrony danych osobowych jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Administrator zobowiązany do przeprowadzenia DPIA musi to zrobić jeszcze przed rozpoczęciem danego rodzaju operacji przetwarzania.

Roksana Amza  

Konsultant ds. ochrony danych osobowych w PBSG SA

Zainteresowaliśmy Cię? Napisz do nas i porozmawiajmy o Twoim projekcie

O Autorze

PBSG
Od 2006 roku pomagamy polskim przedsiębiorcom i organizacjom administracji publicznej w zarządzaniu bezpieczeństwem danych i systemów teleinformatycznych. Przez kilkanaście lat działalności zdobyliśmy niezbędne doświadczenie, dzięki któremu wypracowaliśmy pozycję lidera w obszarze systemowego zarządzania organizacją. Dzisiaj zatrudniamy ponad 180 ekspertów biznesowych i technicznych w ramach grupy kapitałowej. Ponadto współpracujemy z kilkudziesięcioma specjalistami z różnych dziedzin w zakresie zarządzania i wymagań branżowych, aby jak najbardziej dopasować ofertę do realiów i potrzeb polskich firm.