Ocena skutków przetwarzania danych osobowych – czym jest i kiedy jest wymagana? GDPR czyli unijne Rozporządzenie o ochronie danych osobowych (polski skrót: RODO) wprowadza zupełnie nowe, dla polskich administratorów danych, pojęcie – Privacy Impact Assessment (PIA) czyli ocena skutków przetwarzania danych osobowych.

GDPR czyli unijne Rozporządzenie o ochronie danych osobowych (polski skrót: RODO) wprowadza zupełnie nowe, dla polskich administratorów danych, pojęcie – Privacy Impact Assessment (PIA) czyli ocena skutków przetwarzania danych osobowych. Dotychczasowe podejście odnosiło się przede wszystkim do zabezpieczeń organizacyjnych, proceduralnych. Namiastką wytycznych w zakresie zabezpieczeń technicznych jest Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wskazujące m. in. wymaganą strukturę i długość hasła oraz częstotliwość jego zmiany, wymagania funkcjonalne dla systemów informatycznych, konieczność stosowania zabezpieczeń kryptograficznych. Nowe przepisy, bazując na wymaganiach normy ISO/IEC 27001:2014 wskazują na indywidualny dobór zabezpieczeń, adekwatnie do zidentyfikowanych ryzyk (risk based-approach).

Szczególnie istotne jest wdrożenie środków ochrony w fazie projektowania oraz zgodnie z zasadą domyślnej ochrony danych czyli przed rozpoczęciem przetwarzania. Jeżeli analiza na tym etapie wykaże, że operacje na danych będą się wiązały z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych oraz jeżeli zostaną spełnione inne kryteria (opisane w kolejnym akapicie) należy przeprowadzić ocenę skutków przetwarzania dla ochrony danych osobowych (PIA).

Kryteria wskazujące na konieczność przeprowadzenia analizy:

  1. przetwarzane zakłada profilowanie

  2. przetwarzanie zakłada automatyczne podejmowanie decyzji wywołujących skutki prawne wobec osoby fizycznej

  3. przetwarzanie uwzględnia systematyczny monitoring na dużą skalę miejsc dostępnych publicznie

  4. 4. przetwarzane będą dane wrażliwe

  5. dane przetwarzane będą na dużą skalę – znaczna ilości danych osobowych przetwarzanych na szczeblu regionalnym, krajowym lub ponadnarodowym

  6. przetwarzanie zakłada łączenie różnych zbiorów danych, np. pozyskanych do różnych celów

  7. 7. przetwarzane mają być dane osób, które mogą mieć trudność z wyrażeniem sprzeciwu, np. dzieci ze względu na brak odpowiedniej wiedzy, pracownicy w odniesieniu do przetwarzania ich danych przez pracodawcę

  8. przetwarzanie zakłada wykorzystanie innowacyjnych technologii lub innowacyjnych środków organizacyjnych, w szczególności dotyczących identyfikacji osób fizycznych z zastosowaniem linii papilarnych lub z wykorzystaniem biometrii

  9. dane będą przekazywane poza UE

  10. operacje przetwarzania mogą utrudniać osobom, których dane dotyczą, wykonywanie przysługujących im praw, np. w przypadku przetwarzania danych przez podmioty publiczne

Spełnienie przynajmniej 2 z powyższych kryteriów będzie determinowało konieczność przeprowadzenia analizy PIA.

Ocena skutków przetwarzania nie będzie wymagana w przypadku, gdy przetwarzanie nie prowadzi do wysokiego ryzyka naruszenia praw i wolności osób, a zostało już dopuszczone w bardzo podobnym procesie przetwarzania, ma podstawę prawną w prawie UE lub państwa członkowskiego.

Dodatkowo, organ nadzorczy może ustanowić wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.

Zalety PIA:

  • właściwie zaimplementowany proces ułatwia jednoznaczną identyfikację danych osobowych we wszystkich działaniach organizacji

  • narzędzie pozwala na realną identyfikację ryzyk związanych z przetwarzaniem danych, uwzględniając cały kontekst i wszystkie parametry przetwarzania

  • proces może ułatwić zarządzanie procesorami (wg nowego nazewnictwa: podmiotami przetwarzającymi)

  • w związku z faktem, iż ocena skutków przetwarzania powinna być konsultowana z Inspektorem ochrony danych (o ile zostanie powołany), wymusi to realne angażowanie go we wszystkie podejmowane przedsięwzięcia

  • PIA jest narzędziem, które zarządza bezpieczeństwem przetwarzania danych osobowych w cyklu pozwalającym na ciągłe doskonalenie procesu.

PBSG wspiera klientów w tworzeniu lub optymalizacji procesów w celu uzyskania zgodności z wymaganiami GDPR. Osobą dedykowaną w tym obszarze jest Pani Katarzyna Witaszak, tel. 697 001 137, katarzyna.witaszak@pbsg.pl . Zapraszamy do kontaktu.