Nową, dotychczas nieznaną w polskim systemie prawnym czynnością wymaganą przez RODO jest ocena skutków przetwarzania dla ochrony danych. W praktyce wiąże się ona z koniecznością przeprowadzenia wnikliwej analizy części procesów związanych z przetwarzaniem danych u przedsiębiorcy. Przeprowadzając taką ocenę, przedsiębiorca może oszacować poziom ryzyka nieuprawnionej modyfikacji czy zablokowania dostępu do danych w planowanym przedsięwzięciu. Taka analiza pozwala mu się zorientować, jakie środki obniżające ryzyko zastosować.
Zdążyć przed RODO
25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – RODO. To skrócona nazwa rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale za niecałe trzy miesiące upłynie dwuletni okres, który unijny legislator dał przedsiębiorcom na dostosowanie się do wymagań. Kontynuujemy serię artykułów poradniczych, w których przybliżamy najważniejsze zmiany i nowe obowiązki wynikające z RODO.
Ogólne rozporządzenie o ochronie danych (dalej: RODO) nie zawiera gotowych recept, jak należy chronić dane osobowe. Unijny prawodawca stawia na indywidualne podejście do zagrożeń związanych z przetwarzaniem danych osobowych. Tak jest również w przypadku oceny skutków przetwarzania dla ochrony danych osobowych (art. 35 RODO). Przepisy rozporządzenia nie zawierają wskazówek, jak należy przeprowadzić ocenę. Każdy przedsiębiorca zobowiązany do tego powinien wypracować swój sposób jej wykonania. Można się jednak wesprzeć na metodykach udostępnionych w innych państwach, np. przez francuski, brytyjski, a nawet nowozelandzki organ nadzorczy. Także ciało doradcze Komisji Europejskiej – Grupa Robocza Art. 29 – przygotowała wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie może powodować wysokie ryzyko do celów rozporządzenia 2016/679 (nr 17/PL, WP 248 rev. 01), które mogą być wskazówką dla przedsiębiorców.
NOWY WYMÓG
Zgodnie z RODO w celu zapewnienia danym osobowym bezpieczeństwa administrator powinien oszacować ryzyko związane z przetwarzaniem przez niego tych danych oraz wdrożyć środki, które to ryzyko ograniczą.
Znalezienie odpowiedzi na pytanie, jakie środki ochrony danych osobowych zastosować, powinno być poprzedzone analizą ryzyka przetwarzania tych danych. Analiza ta została w przepisach RODO nazwana oceną skutków przetwarzania dla ochrony danych, jednak w praktyce często administratorzy posługują się jej angielskimi odpowiednikami – Data Protection Impact Assessment (DPIA) lub Privacy Impact Assessment (PIA). Przeprowadzenie takiej analizy ułatwia administratorowi ocenę, jak przetwarzanie przez niego danych osobowych w danych procesach wpłynie na prywatność osób fizycznych, i to jeszcze zanim się to w praktyce wydarzy. Przeprowadzając ocenę skutków dla ochrony danych, przedsiębiorca uzyskuje szacunek ryzyka w analizowanym przedsięwzięciu, co pozwala mu się zorientować, jakie środki obniżające ryzyko zastosować.
Ocena skutków dla ochrony danych jest działaniem, które należy przeprowadzić w jak najwcześniejszej fazie przedsięwzięcia, najlepiej przed przystąpieniem do faktycznego przetwarzania danych osobowych. Celem jest zabezpieczenie przedsiębiorcy przed naruszaniem prawa ochrony danych osobowych, ale przede wszystkim ograniczenie ryzyka naruszenia praw osób, których dane dotyczą. Analizę taką przeprowadza się zatem nie tyle z perspektywy interesów przedsiębiorcy, co z punktu widzenia ryzyka naruszenia interesów osób, których dane są przetwarzane. Celem oceny skutków dla ochrony danych jest więc zagwarantowanie, że tego typu ryzyka dotyczące przetwarzania danych zostaną zminimalizowane bądź wyeliminowane.
Ocena skutków dla ochrony danych składa się z dwóch etapów. Pierwszym jest wstępna analiza oceniająca, czy istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka przy przetwarzaniu danych osobowych. Jeżeli na jej podstawie przedsiębiorca ustali, że przetwarzanie danych osobowych w jego przedsięwzięciu może się potencjalnie wiązać z wysokim ryzykiem, aktualizuje się dla niego drugi etap – obowiązek przeprowadzenia analizy docelowej, a więc dokonania merytorycznej oceny skutków przetwarzania dla ochrony danych.
SYTUACJE WYMAGAJĄCE PRZEPROWADZENIA OCENY
W art. 35 ust. 3 RODO wskazane zostały trzy sytuacje, w których przeprowadzenie oceny skutków dla ochrony danych jest konieczne.
Chodzi o:
Dokonywanie systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną.
Obowiązek taki może mieć pracodawca, który rekrutując potencjalnych pracowników, wykorzystuje system komputerowy kategoryzujący przydatność do pracy danego kandydata. W konsekwencji automatycznie, a więc bez ingerencji człowieka, następuje odrzucenie lub przyjęcie kandydatury.
Przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (takich jak informacje o pochodzeniu etnicznym lub rasowym, stanie zdrowia, przekonaniach religijnych) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Obowiązek taki może mieć np. szpital bądź sieć prywatnych poradni medycznych, które przetwarzają dane zwykłe oraz sensytywne pacjentów w zakresie ich zdrowia.
Prowadzenie systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Obowiązek taki może mieć np. administrator sieci sklepów, w których umieszczone zostały kamery przemysłowe, monitorujące klientów i pracowników. Nie jest to jednak lista zamknięta. W przepisach RODO zawarta została jeszcze wskazówka, że właściwe organy nadzorcze mogą wydać wykaz operacji przetwarzania, wobec których konieczne będzie przeprowadzenie oceny oraz wykaz operacji przetwarzania niepodlegających jej przeprowadzeniu. Na razie jednak brak jest takich list przygotowanych przez polski organ nadzorczy.
Przeprowadzenie oceny skutków dla ochrony danych jest uzależnione nie od wielkości przedsiębiorstwa, ale od tego, czy przetwarzanie przez przedsiębiorcę danych osobowych będzie się wiązało z wysokim ryzykiem ich naruszenia, a więc czy będzie negatywnie wpływać na prawa i wolności osób fizycznych. W związku z tym do realizacji powyższej analizy ryzyka może być zobowiązany zarówno mały, jak i duży podmiot. Przedsiębiorca prowadzący kilkuosobowy gabinet dentystyczny, ze względu na naturę działalności przetwarzający dane o zdrowiu swoich pacjentów, a więc dane sensytywne, oraz systematycznie monitorujący kamerą przemysłową pracowników oraz klientów, może być zobowiązany do przeprowadzenia oceny w celu wyeliminowania wysokiego ryzyka naruszenia danych osobowych.
OCENA WSTĘPNA – 9 KRYTERIÓW
Grupa Robocza Art. 29 w wytycznych wskazała dziewięć kryteriów, które mogą ułatwić przedsiębiorcom podjęcie decyzji, czy konieczne jest przeprowadzenie oceny.
Wystąpienie w ramach planowanego przedsięwzięcia przynajmniej dwóch z owych kryteriów stanowi przesłankę do przeprowadzenia oceny. Jednak wystąpienie jednego bądź niewystąpienie żadnego z kryteriów nie wyklucza jeszcze konieczności dokonania takiej oceny – wymagane jest tu dodatkowe oszacowanie ryzyka przez przedsiębiorcę.
● KRYTERIUM 1: przetwarzanie danych osobowych, na podstawie którego administrator dokonuje oceny i punktacji, w tym profilowania. Chodzi o stosowanie metody kategoryzowania osób wedle różnych cech, pozwalającą przeanalizować lub prognozować obecne lub przyszłe osobiste preferencje, zachowania, postawy lub cechy osób fizycznych. Przykładem może być określenie preferencji użytkownika, a więc dopasowanie interesujących go reklam czy stron internetowych o danej tematyce do informacji o jego preferencjach ustalonych na podstawie przeanalizowanych informacji dostępnych o nim, np. o odwiedzanych stronach internetowych.
● KRYTERIUM 2: automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku. Chodzi o algorytmiczne podejmowanie decyzji wobec konkretnej osoby tylko i wyłącznie przez system informatyczny na podstawie uwzględnienia niektórych kryteriów. W praktyce oznacza to, że proces analizy i podejmowania decyzji w formie zautomatyzowanej dokonywany jest bez ingerencji i pomocy człowieka. Przykładem powyższego może być automatyczne zatwierdzenie lub odrzucenie wniosku kredytowego.
● KRYTERIUM 3: systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Zwykle chodzi o użycie urządzeń optyczno-elektronicznych lub wizyjnych, a także monitorowanie danych gromadzonych za pośrednictwem sieci. Systematycznym jest monitorowanie ciągłe i cykliczne, dokonywane w sposób przygotowany i metodyczny. Przykładami takiego monitorowania jest m.in. stały monitoring pracowników czy klientów za pomocą kamer nagrywających obraz, a także wszelkie aplikacje z usługami lokalizacyjnymi czy też usługami monitorującymi dane zdrowotne.
● KRYTERIUM 4: przetwarzanie danych na dużą skalę. Chodzi o przetwarzanie znacznej ilości danych osobowych, które mogą wpłynąć na dużą liczbę osób oraz które mogą powodować wysokie ryzyko naruszenia ich praw. Przy ocenie, czy przetwarzanie jest dokonywane na dużą skalę, należy wziąć pod uwagę w szczególności liczbę osób, których dane dotyczą, ilość danych lub zakres poszczególnych przetwarzanych pozycji, czas trwania lub trwałość czynności przetwarzania oraz zakres geograficzny. Przykładem może być przetwarzanie danych klientów przez banki albo zakłady ubezpieczeń.
● KRYTERIUM 5: przetwarzanie danych szczególnych kategorii. Dane szczególnych kategorii ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby. Przetwarzanie danych o charakterze wysoko osobistym dotyczy danych dotyczących wyroków skazujących oraz naruszeń prawa.
● KRYTERIUM 6: dopasowywanie lub łączenie zbiorów danych. Chodzi o sytuacje, w których dane w połączonym zbiorze pochodzą z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach bądź przez różnych administratorów. Przykładem takiego działania może być gromadzenie publicznie udostępnionych danych z portali społecznościowych w celu stworzenia innego, bardziej rozbudowanego profilu.
● KRYTERIUM 7: przetwarzanie danych osób wymagających szczególnej opieki. Chodzi o nierówność stron między podmiotem, do którego należą dane, a administratorem. Do takich osób można zaliczyć np. dzieci, osoby chore psychicznie czy pracowników danego administratora.
● KRYTERIUM 8: wykorzystywanie nowych technologii oraz innowacyjnych rozwiązań w przedsięwzięciu. Przykładem takich technologii może być system weryfikujący tożsamość osób z wykorzystaniem linii papilarnych czy skanu soczewki. Powyższe formy mogą się wiązać z nowymi formami czy sposobami przetwarzania danych osobowych, co może potencjalnie powodować podwyższone ryzyko dla praw lub wolności osób fizycznych.
● KRYTERIUM 9: przedsięwzięcie w jakikolwiek sposób uniemożliwia podmiotom danych wykonywanie umów czy usług bądź korzystanie z przysługujących im praw. Kryterium to odnosi się w praktyce do tego, czy umożliwienie zawarcia umowy lub wykonania usługi jest poprzedzone weryfikacją danych osobowych takiego podmiotu. Sytuację taką można zobrazować sprawdzeniem zdolności kredytowej przez bank, które to działanie poprzedza i warunkuje zawarcie umowy.
Na podstawie powyższych kryteriów przedsiębiorca powinien określić, czy planowane przez niego działania z wykorzystaniem danych osobowych ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jeśli tak jest, administrator przed rozpoczęciem przetwarzania jest zobowiązany dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Przeprowadzone badanie wstępne warto udokumentować, aby w przyszłości móc się rozliczyć przed organem nadzorczym z tego, że taki proces został przeprowadzony i pewne operacje przetwarzania zostały zakwalifikowane do dalszej oceny, zaś niektóre zostały uznane za niegenerujące obowiązku.
ANALIZA GŁÓWNA
Brak jest w przepisach RODO wskazania formy, w jakiej zasadnicza ocena powinna być przeprowadzona. Wydaje się jednak, że dla celów dowodowych oraz rozliczenia przed organem nadzorczym czy przeprowadzenia ewentualnych konsultacji z organem nadzorczym należy udokumentować jej przeprowadzenie w formie raportu sporządzonego na piśmie lub w formie elektronicznej.
Podmiotem odpowiedzialnym za przeprowadzenie oceny skutków dla ochrony danych jest administrator. Współpracować przy jej wykonaniu powinni jednak z nim i inspektor ochrony danych (jeśli taki został wyznaczony), i podmiot przetwarzający dane na zlecenie administratora. Administrator może zdecydować, kto najlepiej skoordynuje i przeprowadzi ocenę skutków dla ochrony danych. Może więc dokonać jej osobiście bądź powierzyć wykonanie podmiotowi zewnętrznemu.
W przepisach RODO brak jest szczegółowych wskazówek, jak przeprowadzić analizę. Warto zauważyć, że dogłębność przeprowadzanej oceny zależy od zakresu i wielkości danego przedsięwzięcia. Zupełnie inaczej będzie więc procedowana ocena skutków dla ochrony danych wobec przedsięwzięcia z zakresu świadczenia usług lokalizacji, a inaczej wobec przetwarzania danych klientów sieci banku. W związku z tym niektóre czynności przetwarzania będą wymagać szerokiej analizy wielu aspektów przetwarzania, a zakres innych będzie dość wąski. Nie jest to więc sztywna, ale elastyczna konstrukcja. Zindywidualizowana ocena umożliwia zidentyfikowanie zagrożeń związanych z przetwarzaniem danych osobowych w danym przedsięwzięciu w odniesieniu do ukształtowania organizacyjnego i procesowego danego przedsiębiorcy. Nie sposób zatem określić jednolitego i właściwego dla wszystkich podmiotów wzoru oceny.
Zgodnie z dyspozycją rozporządzenia, konieczne jest uwzględnienie w ocenie skutków przetwarzania czterech najważniejszych komponentów.
1. Systematyczny opis planowanych operacji i celów przetwarzania. W jego ramach należy możliwie szczegółowo: przedstawić planowane operacje przetwarzania, wskazać kategorie odbiorców danych, a także określić, jak długo dane będą przetwarzane oraz czy będą przesyłane do państw trzecich. Administrator również powinien wskazać, czy przetwarzanie będzie powierzone innemu podmiotowi, a jeśli tak, to czy zapewnia on odpowiednie zabezpieczenia. Jeśli przetwarzanie danych jest dokonywane w systemach informatycznych, przydatne jest wskazanie takich systemów oraz sposobów zapewnienia bezpieczeństwa danych w takich systemach. Warto także wskazać, jak często kontrolowane i aktualizowane są takie systemy pod kątem zabezpieczeń.
Ocena skutków dla ochrony danych powinna również wskazywać planowane bądź już stosowane środki w celu zapewnienia bezpieczeństwa przetwarzanych w przedsięwzięciu danych. Z przepisów RODO wynika również obowiązek informacyjny, który administrator powinien spełnić wobec osób, których dane osobowe przetwarza. W związku z tym zalecane jest wskazanie w analizie, w jaki sposób administrator realizuje ten obowiązek. Wskazane kategorie mają charakter przykładowy, a więc każdy administrator może indywidualnie rozszerzyć bądź zawęzić opis przetwarzania w zależności od przedsięwzięcia i szczegółowości przeprowadzanej oceny. Im bardziej szczegółowy opis, tym większe prawdopodobieństwo zlokalizowania, a tym samym zminimalizowania lub zneutralizowania potencjalnych zagrożeń w przedsięwzięciu.
2. Wskazanie, czy przetwarzane w przedsięwzięciu dane są niezbędne oraz proporcjonalne w stosunku do celów, do których mają być wykorzystane. Jeśli okazałoby się, że założony cel można osiągnąć w wyniku mniej inwazyjnego przetwarzania danych osobowych, taki wariant należałoby wybrać na gruncie wykazania zgodności z przepisami RODO. W ramach tej części oceny administrator ma za zadanie udowodnić, że cel przedsięwzięcia jest konkretny, wyraźny i prawnie uzasadniony, dane osobowe są wykorzystywane tylko do celów, dla których zostały faktycznie zebrane, a przetwarzanie ich w przedsięwzięciu nie jest nadmierne w stosunku do zaplanowanych celów.
3. Analiza ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Ocena takiego ryzyka składa się z weryfikacji prawdopodobieństwa wystąpienia ryzyka oraz analizy wpływu takiego ryzyka na prawa i wolności osób. Ryzyko wpływu na prawa lub wolności osób fizycznych dotyczyć może uszczerbku fizycznego lub szkód majątkowych bądź niemajątkowych, w szczególności dyskryminacji, kradzieży tożsamości lub oszustwa dotyczącego tożsamości, straty finansowej, naruszenia dobrego imienia lub naruszenia poufności danych osobowych chronionych tajemnicą zawodową. W związku z tym należy określić potencjalne źródła ryzyka, np. brak zagwarantowania przez administratora adekwatnych zabezpieczeń danych, co może skutkować nieuprawnionym dostępem do nich, ich kradzieżą, modyfikacją lub trwałą utratą. Przykładowymi działaniami, które mogą stanowić wysokie ryzyko dla ochrony danych, mogą być brak lub nieodpowiednie ograniczenie dostępu do danych wewnątrz organizacji bądź nieodpowiednie zabezpieczenie urządzeń przenośnych, co może ułatwiać nieupoważniony dostęp do nich. Każdy rodzaj ryzyka należy zidentyfikować i uszczegółowić, aby móc następnie wskazać możliwe działania zaradcze.
4. Wskazanie środków planowanych w celu zaradzenia zidentyfikowanemu wcześniej ryzyku. Wskazanie zagrożeń i ich konsekwencji względem ochrony danych osobowych w ramach przedsięwzięcia, jak również opis środków, które mają zaradzić ryzyku, jest punktem kulminacyjnym oceny skutków dla ochrony danych. Należy jednak liczyć się z tym, że niektórych rodzajów ryzyka nie da się ani w pełni wyeliminować, ani nawet znacząco ograniczyć. Ocena skutków przetwarzania dla ochrony danych pomaga w takich przypadkach zidentyfikować takie ryzyko i zwrócić na nie szczególną uwagę.
RAPORT PIA
W przepisach RODO brak jest wskazówek, czy i jak udokumentować przeprowadzoną analizę ryzyka. W praktyce zalecane jest jej udokumentowanie w formie raportu z przeprowadzonej oceny, utrwalonym na piśmie lub w formie elektronicznej.
Z przepisów RODO wynika konieczność zapewnienia rozliczalności przez administratora, a zatem również możliwości udowodnienia przeprowadzenia takich analiz. Przepisy nie zawierają jednak wytycznych odnośnie do konieczności udostępnienia takich analiz (np. ich opublikowania). Administrator ma możliwość zadecydowania, czy zechce upublicznić wynik analizy. Grupa Robocza Art. 29 wskazuje jednak, że w ramach zapewnienia transparentności i zwiększenia zaufania zaleca się opublikowanie oceny choćby w zakresie części dotyczącej wniosków lub ogólnego podsumowania. Niezależnie od decyzji o opublikowaniu oceny powinna być ona zawsze dostępna do weryfikacji organu nadzorczego.
Głównym założeniem RODO jest ochrona danych osobowych. Administrator, wypełniając obowiązek przeprowadzenia oceny skutków dla ochrony danych, ustala warunki przetwarzania, które w najwyższym dostępnym stopniu umożliwiają zapewnienie ochrony danych osobowych, a przede wszystkim zabezpieczają podmiotowi danych realizację jego praw i wolności. Administrator, wykazując zgodność planowanego przetwarzania z przepisami RODO, może dodatkowo zbudować zaufanie klienta, jednocześnie ograniczając ryzyko zarzutu przetwarzania danych niezgodnie z przepisami. Przeprowadzenie oceny może przynieść zatem obopólną korzyść: klientowi i przedsiębiorcy.
Ocena skutków dla ochrony danych jako działanie prewencyjne zapewnia możliwość zidentyfikowania ewentualnych negatywnych konsekwencji jeszcze przed ich wystąpieniem oraz zastosowanie środków eliminujących lub ograniczających takie konsekwencje. W rezultacie może się przyczyniać do ograniczenia kosztów: będą niższe niż te, które trzeba byłoby ponieść po wystąpieniu konsekwencji.
Raz przeprowadzona ocena skutków przetwarzania dla ochrony danych nie jest zamkniętym procesem. Należy utrzymywać ją, tzn. uwzględniać w niej ewentualne zachodzące zmiany u danego administratora, a także aktualizować ją co jakiś czas (np. co rok lub dwa lata), także wtedy, gdy nie zachodzą szczególne zmiany w procesach przetwarzania danych osobowych.