Wstęp
W poprzednim artykule odnosiliśmy się do analizy ryzyka w procesie ochrony danych osobowych. Ocena ryzyka dla czynności przetwarzania danych osobowych stanowi bowiem istotny element organizacyjny procesu bezpieczeństwa danych osobowych. Na jej podstawie możemy ustalić, czy praca z danymi osobowymi, w ramach konkretnej czynności przetwarzania, będzie się wiązała z wysokim prawdopodobieństwem naruszenia praw i wolności osób fizycznych. Dlatego też przepisy rozporządzenia RODO nakładają na administratora obowiązki także w tym zakresie.
Ocena skutków dla ochrony danych osobowych – kto za nią odpowiada?
Zgodnie z art. 35 ust. 1 to administrator danych osobowych odpowiedzialny jest przeprowadzenie oceny skutków dla ochrony danych. W tym zakresie może jednak prowadzić konsultację z inspektorem ochrony danych osobowych.
Ocena ryzyka związanego z naruszeniem ochrony danych
W momencie stwierdzenia naruszenia ochrony danych osobowych odpowiedzialny za nie administrator musi przeprowadzić ocenę ryzyka naruszenia praw i wolności osób fizycznych. Taka ocena powinna być wykonana w sposób indywidualny i co ważne – aktualizowana, w momencie kiedy pojawiają się nowe informacje o incydencie. Przy ustalaniu poziomu ryzyka należy zatem oszacować wagę potencjalnych konsekwencji oraz prawdopodobieństwo ich zmaterializowania. W ocenie uwzględnia się rodzaj naruszenia (czy dotyczy ono integralności, dostępności czy poufności danych osobowych), a także zakres, charakter i wrażliwość danych osobowych. Należy również ustalić, czy naruszenie doprowadzi do zidentyfikowania, w łatwy sposób, osób, których dane dotyczą oraz jakie będą tego konsekwencje (np. kradzież lub sfałszowanie tożsamości). Ważny jest również aspekt cech szczególnych administratora jak i osób, których dane dotyczą. Na wysokość oceny ryzyka wpłynie również liczba takich osób (jest ona uwzględniana w ocenie wagi naruszenia przeprowadzanej np. na podstawie wytycznych ENISA).
Kiedy należy przeprowadzić ocenę skutków dla ochrony danych?
Taka ocena musi być wykonana przez administratora danych osobowych w sytuacji, kiedy dany rodzaj przetwarzania danych osobowych, z dużym prawdopodobieństwem, może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą. Uwzględnić należy przy tym charakter, zakres, kontekst i cele przetwarzania. Istotne będzie też wykorzystanie do przetwarzania nowych technologii (szczególnie opartych na sztucznej inteligencji). Co ważne, administrator danych powinien również przeprowadzić wstępną ocenę przed rozpoczęciem przetwarzania danych w ramach danego procesu.
Zgodnie z art. 35 ust. 3 rozporządzenia RODO ocenę skutków dla ochrony danych wymagana będzie dla operacji przetwarzania danych osobowych w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu,
i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących
i naruszeń prawa, o czym mowa w art. 10; lub
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Ponadto, jednym z obowiązków Prezesa Urzędu Ochrony Danych Osobowych jest przygotowanie wykazu rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych osobowych[1]. Choć w wykazie znalazło się kilkanaście rodzajów operacji (kryteriów), organ nadzorczy podkreśla, że kryteria te nie mają charakteru zamkniętej listy[2]. Oznacza to, że administrator ma obowiązek przeanalizowania wszelkich operacji przetwarzania danych w oparciu o pełną ocenę skutków dla ochrony danych.
Prawidłowo przeprowadzona ocena skutków dla ochrony danych osobowych pozwoli ocenić czy przetwarzanie danych osobowych nie będzie się wiązało ze zbyt wysokim ryzykiem dla osób, które dane dotyczą. Dzięki niej administratorzy będą mogli zaktualizować środki, które wpływają na zminimalizowanie ryzyka, a co za tym idzie zapewnienie bezpieczeństwa danych osobowych[3].
[1] Takowy komunikat został opublikowany dnia 17 czerwca 2019 r. (Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. M.P. 2019 poz. 666).
[2] Niemniej przetwarzanie danych, które spełnia przynajmniej dwa z kryteriów wskazanych w wykazie, powinno zostać poddane wspomnianej ocenie skutków. Administrator może jednak uznać, że będzie ona niezbędna nawet w przypadku spełniania jednego z kryteriów.
[3] Należy pamiętać, że z godnie z art. 36 ust. 1 rozporządzenia RODO, że w określonych przypadkach administrator danych osobowych może zwrócić się do organu nadzorczego w sprawie konsultacji.