Ocena skutków wpływu na ochronę danych (DPIA)

O

cena skutków przetwarzania na ochronę danych (DPIA), jest wymagana zgodnie z RODO za każdym razem, gdy rozpoczynamy nowy projekt, który może wiązać się z „wysokim ryzykiem” dla danych osobowych, które będziemy przetwarzać. W tym artykule wyjaśnimy, jak przeprowadzić ocenę skutków przetwarzania w zakresie ochrony danych.

Ogólne rozporządzenie Unii Europejskiej o ochronie danych (popularnie zwane RODO), zawiera dziesiątki zasad, których organizacje muszą przestrzegać, aby chronić gromadzone przez siebie dane osobowe dotyczące np. swoich klientów, osób odwiedzających ich strony internetowe lub biorących udział w akcjach marketingowych. Równie ważne jest zapewnienie bezpieczeństwa dla danych osobowych pracowników. Organizacje, które nie przestrzegają RODO, narażają się na surowe kary, w tym grzywny w wysokości do 20 milionów euro lub na proporcjonalną karę do 4 procent rocznego przychodu, w zależności od tego, która z tych wartości jest wyższa.

Ocena skutków przetwarzania (DPIA)

Wiele wymagań RODO omawiamy w innych artykułach na tej stronie. Grupa Robocza, działająca przy Kryptos72, podejmuje problemy i kwestie RODO, w aspekcie stricte praktycznym. Pamiętaj, że ewentualne zwolnienie z prowadzenia rejestru czynności przetwarzania, nie zwalnia Twojej organizacji z obowiązku przestrzegania RODO, w tym z prowadzenia oceny skutków przetwarzania dla ochrony danych osobowych.

Jednym z najważniejszych sposobów wykazania Urzędowi Ochrony Danych Osobowych, że Twoja organizacja przestrzega RODO, jest przygotowanie DPIA dla każdej czynności przetwarzania danych wysokiego ryzyka.

Poniżej wyjaśnimy, jak ustalić, kiedy należy przeprowadzić DPIA, a następnie, jak przeprowadzić ocenę skutków przetwarzania na ochronę danych.

Oceny skutków przetwarzania na ochronę danych osobowych

Artykuł 35 RODO podejmuje omawiany temat tj.  ocenę skutków przetwarzania na ochronę danych. DPIA jest nowym wymogiem na mocy RODO, w ramach zasady tzw. domyślnej ochrony danych oraz ochrony danych w fazie projektowania. O co w tym chodzi? Już wyjaśniamy…

W przypadku gdy rodzaj przetwarzania, w szczególności z użyciem nowych technologii oraz biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania, może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, administrator danych przed rozpoczęciem przetwarzania, winien przeprowadzić ocenę skutków przetwarzania na ochronę danych osobowych, w kontekście planowanych operacji przetwarzania.

Art. 35: Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

Ocena skutków przetwarzania według RODO

Chociaż w tym fragmencie wyraźnie zaznaczono, że DPIA jest wymagana przez prawo w pewnych warunkach, warto o niej pamiętać, na etapie realizacji RODO. W wielu decyzjach organu ochrony danych osobowych, wskazywano, że wszelkie sytuacje sporne, winny być przeanalizowane przez administratora i właśnie ocena skutków przetwarzania na ochronę danych osobowych, wraz z analizą ryzyka powinny być wiążącym źródłem podejmowanych dalej decyzji. Aby pomóc w wyjaśnieniu tematu, oto kilka konkretnych przykładów rodzajów i warunków przetwarzania, które wymagałyby DPIA:

• Jeśli korzystasz z nowych technologii (innowacyjnych) to pamiętaj o DPIA;
• Jeśli monitorujesz lokalizację lub zachowanie osób, to DPIA jest bezwzględnie obowiązkowe;
• Jeśli systematycznie monitorujesz ogólnodostępne miejsca na dużą skalę, to ocena skutków przetwarzania, jest również kluczowa;
• Jeśli przetwarzasz dane osobowe tzw. wrażliwe, związane z „pochodzeniem rasowym lub etnicznym, poglądami politycznymi, przekonaniami religijnymi lub filozoficznymi lub związane z przynależnością partyjną lub związkową oraz przetwarzaniem danych genetycznych, danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej, dane dotyczące zdrowia lub dane dotyczące życia seksualnego lub orientacji seksualnej osoby fizycznej; to ocena skutków przetwarzania jest bezwzględnie wymagana;
• Jeśli Twoje dane są wykorzystywane do automatycznego podejmowania decyzji, które mają znaczący skutek lub skutek stricte prawny, dla osób, których dane przetwarzamy – w tej sytuacji, również DPIA to obowiązek;
• Jeśli przetwarzasz dane dzieci, to ocena skutków przetwarzania dla danych osobowych, jest również kluczowa.
• Jeśli przetwarzane dane wyciekną i mogą spowodować bezpośrednią szkodę dla osób, których dane dotyczą. W takiej sytuacji nie czekaj ani chwili, lecz przeprowadź DPIA.

Również w innych przypadkach, w których nie jest spełniony standard wysokiego ryzyka, rozsądne może być przeprowadzenie DPIA w celu zminimalizowania odpowiedzialności i zapewnienia najlepszych praktyk w zakresie bezpieczeństwa danych i prywatności w organizacji. Pamiętaj, że większość naruszeń danych pociąga za sobą określone skutki prawne. Ocena skutków przetwarzania dla ochrony danych osobowych, to skuteczne narzędzie do obrony naszych interesów oraz do zebrania dowodów, że staraliśmy się przeanalizować i zapewnić bezpieczeństwo, realizując konkretne przetwarzanie danych.

Jak przeprowadzić odpowiednią ocenę skutków przetwarzania na ochronę danych?

Zgodnie z art. 35 RODO wymagane jest, aby ocena skutków w zakresie ochrony danych, zawierała następujące elementy:

1. Szczegółowy opis przewidywanych operacji przetwarzania i celów przetwarzania, w tym, w stosownych przypadkach, wskazanie szczegółów tzw. uzasadnionego interesu realizowanego przez administratora
2. Ocena konieczności i proporcjonalności operacji przetwarzania w stosunku do celów
3. Analiza ryzyka dla praw i wolności osób, których dane dotyczą
4. Opis środków przewidzianych w celu ograniczenia ryzyka, w tym opis zabezpieczeń, charakterystyka środków bezpieczeństwa i mechanizmów zapewniających ochronę danych osobowych i wykazanie zgodności z RODO, z uwzględnieniem praw i uzasadnionych interesów osób, których dane dotyczą oraz innych zainteresowanych osób

Musisz przygotować oceną skutków przetwarzania (DPIA) przed rozpoczęciem jakiejkolwiek czynności przetwarzania danych. Najlepiej byłoby przeprowadzić DPIA przed, a następnie podczas kolejnych kroków milowych nowego projektu. Jeśli masz inspektora ochrony danych, skonsultuj z nim swoje plany oraz informuj o ewentualnych zmianach, które nastąpią, w trakcie realizowania projektu. 

Komunikacja to podstawa realizacji zasad RODO. Zakłócenia w normalnej biznesowej komunikacji, wg naszych doświadczeń, prowadzą do 90% incydentów. Gdy coś się wydarzy, najczęściej podczas oceny skutków naruszenia, osoby, które były powiązane, twierdzą, że coś komuś o tym mówiły lub chciały porozmawiać, ale ich nikt nie słuchał lub wysłały email, który nigdy nie został odebrany. Zaś informatyk w przypadku ataku na firmę, również przypomina, że od paru lat wskazywał na takie ryzyko, ale nie znalazł się budżet na działania korygujące.

Program do RODO, a ocena skutków przetwarzania

Polecamy skorzystanie z narzędzia Kryptos72, które kompleksowo pomoże Ci przejść przez meandry oceny skutków przetwarzania dla ochrony danych osobowych, a nawet umożliwi Ci opracowanie analizy ryzyka, pod kątem RODO.  Wypełniając formularz, będziesz mógł zrozumieć zakres przetwarzania danych. System posiada autorską bazę podatności, zagrożeń oraz zabezpieczeń, które możesz szybko wybrać, by opracować profesjonalną ocenę skutków przetwarzania dla ochrony danych osobowych.