iSecure logo
  • pl
  • en
    • Blog

    DPIA w organizacji

    Przemysław Siarka
    Przetwarzanie danych służbowych
    Kategorie

    Jednym z częstych uchybień, które mają miejsce podczas wdrażania RODO, jest błędna ocena co do braku przesłanek do przeprowadzenia oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA). Często może być wynikiem przeświadczenia, że skoro niejedna analiza procesu została zrobiona przed wdrożeniem RODO (np. podczas audytu), to już nic więcej nie trzeba oceniać. Natomiast brak przeprowadzenia DPIA, gdy jest wymagana, może przełożyć się na nałożenie „niższej” kary finansowej przez Prezesa UODO. Cudzysłów użyty celowo, gdyż administracyjna kara pieniężna może wynieść do 10 mln Euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wyższe kary są możliwe odpowiednio w wysokości do 20 mln Euro oraz do 4% obrotu, ale za inne naruszenia przepisów RODO. Skupmy się jednak nad oceną przetwarzania – którą Administrator musi dokonać, aby ocenić konkretne prawdopodobieństwo i powagę możliwości zaistnienia wysokiego ryzyka przetwarzania danych osobowych.

    Kiedy ocena skutków dla ochrony danych jest konieczna?

    Zgodnie z brzmieniem art. 35 ust. 1 RODO oceny dokonujemy, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wówczas Administrator danych osobowych przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W ustępie 3 wskazanego przepisu Administrator może znaleźć doprecyzowanie. Mianowicie taka ocena skutków jest wymagana w szczególności, w przypadku:

    1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
    2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
    3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

    Natomiast Administrator nie musi dokonywać oceny skutków przetwarzania, jeżeli przetwarzanie danych zostało oparte na przepisie prawa albo dotyczy zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6 ust. 1 lit. c) lub e) RODO) i ma podstawę prawną w przepisach krajowych lub unijnych, które regulują dany proces przetwarzania, a ocenę skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji legislacyjnych. Przeglądając uzasadnienia projektów ustaw, można mieć wątpliwości, czy taka ocena skutków została dokonana w oparciu o zamieszczone przez ustawodawcę następujące zdanie: Rozwiązania przyjęte w projekcie zapewniają ochronę danych osobowych w sposób zgodny z przepisami o ochronie danych osobowych. Pamiętajmy, że racjonalny ustawodawca nie zawsze bywa racjonalny.

    Ciągle mam wątpliwości, czy przeprowadzenie DPIA jest wymagane w moim przedsiębiorstwie?

    Powyższe przesłanki wymienione w art. 35 ust. 3 RODO wydają się bardziej konkretne. Lecz po ich lekturze Administrator danych wciąż może mieć wątpliwości i szukać powodów utwierdzających go w przekonaniu, że jednak nie jest zobowiązany do dodatkowej analizy.  Być może twórcy RODO to przewidzieli i dlatego w art. 35 ust. 4 nakazali organowi krajowemu ds. ochrony danych osobowych upublicznić wykaz rodzajów operacji przetwarzania, które podlegają wymogowi dokonania oceny skutków dla ochrony danych. Z art. 54 ustawy o ochronie danych osobowych dowiemy się, że taki wykaz operacji jest ogłaszany w Dzienniku Urzędowym Rzeczypospolitej Polskiej „Monitor Polski” – i to nie jeden wykaz, a dwa. Mianowicie Prezes Urzędu musi ogłosić listę operacji, dla których DPIA jest wymagane oraz może przedstawić operacje niewymagające DPIA. Oczywiście drugiej listy nie znajdziemy, w końcu jest fakultatywna. Natomiast będąc Administratorem danych możemy odnaleźć operacje wymagające dokonania oceny skutków przetwarzania w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony [link: http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WMP20190000666 ].

    Administrator danych musi jednak pamiętać, że wyliczenia zawarte w powyższym Komunikacie, czy w art. 35 ust. 3 RODO, nie stanowią katalogu zamkniętego. Zostało to również podkreślone w treści załącznika do Komunikatu Prezesa UODO, w którym można przeczytać, że każdy z przykładów obszarów zastosowania ma charakter wyłącznie ilustracyjny, a w konsekwencji „Przykłady operacji/ zakresu danych/ okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania” nie mają charakteru wyczerpującego. Zawarte w wykazie przykłady mają jedynie na celu pomoc w lepszym zrozumieniu kryteriów/rodzajów operacji mogących skutkować koniecznością przeprowadzenia oceny skutków dla ochrony danych.

    Przykłady zawarte w Komunikacie warto przejrzeć, gdyż znajdują się w nich pozycje mogące mieć zastosowanie u większości Administratorów. Jako przykład można wskazać, że wymieniono przetwarzanie danych w kontekście pracy w domu i pracy wykonywanej zdalnie.

    Wiem już, że muszę wykonać DPIA. Tylko jak?

    Jeżeli Administrator danych osobowych zlokalizował procesy wymagające dokonania oceny skutków dla ochrony danych, musi pamiętać, by skonsultować się z Inspektorem Ochrony Danych wyznaczonym w organizacji (art. 35 ust. 2 RODO).

    W dokonaniu omawianej oceny przychodzi Administratorowi z pomocą art. 35 ust. 7 RODO, zgodnie z którym ocena skutków dla ochrony danych powinna zawierać co najmniej:

    1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
    2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
    3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
    4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

     

    Dokonując oceny, należy również pamiętać o uwzględnieniu zatwierdzonych kodeksów postępowania (czyli o białych krukach), o czym stanowi art. 35 ust. 8 RODO oraz o możliwości zasięgnięcia opinii osób, których dane Administrator będzie przetwarzał, na podstawie art. 35 ust. 9 RODO.

    Administrator powinien należycie przeprowadzić ocenę skutków przetwarzania z kilku powodów. Jednym z najważniejszych jest uniknięcie negatywnych konsekwencji dla osób fizycznych w związku z przetwarzaniem danych osobowych. Chroniąc osoby fizyczne Administrator może ustrzec się przed złym PR swojej marki oraz administracyjną karą finansową nałożoną przez Prezesa UODO. Kolejnym powodem jest cykliczność wykonywania takiej analizy. Jeżeli wykonamy błędnie DPIA może nie być widoczna poprawa jaka zaszła po wdrożonych środkach w celu zminimalizowania ryzyka związanego z daną operacją wykonywaną na danych osobowych. Nie możemy także zapominać o art. 36 RODO, zgodnie z którym, w określonych sytuacjach należy skonsultować się z organem nadzorczym – czyli Prezesem Urzędu Ochrony Danych Osobowych – i to przed rozpoczęciem przetwarzania, co do którego występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a Administrator nie jest w stanie go zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia.

    Podsumowując.

    Administrator w celu poprawienia przestrzegania RODO, w szczególności gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, musi dokonać oceny skutków dla ochrony danych. Jest to niezbędne w celu oszacowania, w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki dokonanej oceny Administrator powinien uwzględnić przy określaniu odpowiednich środków, które należy zastosować w jego organizacji. Dlatego należy zadbać o poprawne przeprowadzenie DPIA, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z RODO.

    * Zdjęcia pochodzą z Wytycznych grupy roboczej art. 29 (WP 248) https://uodo.gov.pl/pl/file/17

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Bartosz Migas

    SKRZYNKA BYŁEGO PRACOWNIKA A RODO

    Służbowe skrzynki pocztowe pracowników to punkty kontaktowe, przez które przepływa duża część informacji, w tym także danych osobowych. Z jednej strony to sposób na komunikację organizacji z jej klientami czy partnerami, a z drugiej to nadal indywidualne adresy pozwalające na prowadzenie korespondencji z konkretną osobą. W tym stanie rzeczy należy zawsze pamiętać o tym, że […]

    Czytaj więcej
    Wymiana doświadczenia
    Damian Bielecki

    Pośrednictwo, leady i RODO, czyli jak to możliwe, że procesor jest jednocześnie administratorem?

    W celu maksymalizacji zysków, a także zapewnienia wysokiej jakości usług, outsourcing jest coraz częstszym zjawiskiem w świecie biznesu. Gdy słyszymy “outsourcing usług” najczęściej przychodzą nam do głowy usługi prawne lub księgowe. Nie możemy jednak zapominać, że coraz częstszą formą outsourcingu jest szeroko pojęte pośrednictwo. Jedną z najpopularniejszych form pośrednictwa jest poszukiwanie klientów, zwanych przez biznes […]

    Czytaj więcej
    Przemysław Siarka

    Zabezpieczenia pamięci przenośnej według irlandzkiego organu nadzorczego

    Co słychać na zielonej wyspie? Jak dobrze wiemy, jednym z głównych obowiązków administratora danych wynikających z ogólnego rozporządzenia o ochronie danych (RODO) jest zapewnienie odpowiednich środków bezpieczeństwa danych osobowych. Te środki powinny chronić przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem (posługiwaniem się) danymi osobowymi, w tym przed kradzieżą, zniszczeniem, uszkodzeniem lub ich ujawnieniem. Skąd administrator […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki