Wytyczne dotyczące oceny skutków dla ochrony danych DPIA oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679
14/12/2017
Wytyczne dotyczące oceny skutków dla ochrony danych DPIA oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679, 17/EN, WP 248 rev.01
GRUPA ROBOCZA ART. 29 DS. OCHRONY DANYCH
17/EN
WP 248
Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679
przyjęte w dniu 4 kwietnia 2017 r.
Ostatnio zmienione i przyjęte w dniu 4 października 2017 r.
GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH
powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia
24 października 1995 r.,
uwzględniając art. 29 i art. 30 wspomnianej dyrektywy,
uwzględniając swój regulamin wewnętrzny,
PRZYJMUJE NINIEJSZE WYTYCZNE:
I. Wprowadzenie
Rozporządzenie 2016/6791 (RODO) będzie obowiązywało od dnia 25 maja 2018 r. W art. 35 RODO – podobnie jak w dyrektywie 2016/6802– wprowadzono pojęcie oceny skutków dla ochrony danych3.
Ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych4 poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO (zob. również art. 24)5. Innymi słowy ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.
Na mocy RODO nieprzestrzeganie wymogów dotyczących oceny skutków dla ochrony danych może spowodować nałożenie grzywien przez właściwy organ nadzorczy. Nieprzeprowadzenie oceny skutków dla ochrony danych, gdy przetwarzanie podlega takiej ocenie (art. 35 ust. 1 i 3–4), nieprawidłowe przeprowadzenie oceny skutków dla ochrony danych (art. 35 ust. 2 i 7–9) lub brak konsultacji z właściwym organem nadzorczym, gdy jest to wymagane (art. 36 ust. 3 lit. e)) mogą skutkować nałożeniem administracyjnej kary pieniężnej w wysokości do 10 mln EUR lub, w przypadku przedsiębiorstwa, do 2 % całkowitego rocznego obrotu w skali światowej w poprzednim roku budżetowym, w zależności od tego, która kwota jest wyższa.
II. Zakres wytycznych
W niniejszych wytycznych uwzględniono:
- oświadczenie 14/EN WP 218 Grupy Roboczej Art. 296;
- wytyczne Grupy Roboczej Art. 29 dotyczące inspektora ochrony danych 16/EN WP 2437;
- opinię Grupy Roboczej Art. 29 w sprawie ograniczenia celu 13/EN WP 2038;
- normy międzynarodowe9.
Zgodnie z przewidzianym w RODO podejściem opartym na analizie ryzyka przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe w przypadku każdej operacji przetwarzania. Przeprowadzenia oceny skutków dla ochrony danych wymaga się wyłącznie w przypadku, gdy przetwarzanie „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (art. 35 ust. 1). Aby zapewnić spójną interpretację okoliczności, w których ocena skutków dla ochrony danych jest obowiązkowa (art. 35 ust. 3), niniejsze wytyczne mają na celu przede wszystkim wyjaśnienie tego pojęcia i przedstawienie kryteriów w odniesieniu do wykazów, które zostaną przyjęte przez organy ochrony danych zgodnie z art. 35 ust. 4.
Zgodnie z art. 70 ust. 1 lit. e) Europejska Rada Ochrony Danych będzie mogła wydawać wytyczne, zalecenia i najlepsze praktyki, zachęcając do spójnego stosowania RODO. Celem niniejszego dokumentu jest uprzedzenie takich przyszłych prac Europejskiej Rady Ochrony Danych i tym samym objaśnienie odpowiednich przepisów RODO, aby pomóc administratorom w przestrzeganiu prawa oraz aby zapewnić pewność prawa administratorom, którzy są zobowiązani do przeprowadzenia oceny skutków dla ochrony danych.
Niniejsze wytyczne mają na celu również promowanie opracowania:
- wspólnego unijnego wykazu operacji przetwarzania, w przypadku których ocena skutków dla ochrony danych jest obowiązkowa (art. 35 ust. 4);
- wspólnego unijnego wykazu operacji przetwarzania, w przypadku których ocena skutków dla ochrony danych nie jest konieczna (art. 35 ust. 5);
-
wspólnych kryteriów dotyczących metody przeprowadzania oceny skutków dla ochrony danych (art. 35 ust. 5);
-
wspólnych kryteriów dotyczących określania, kiedy należy skonsultować się z organem
-
nadzorczym (art. 36 ust. 1);
-
w stosownych przypadkach – zaleceń bazujących na doświadczeniach zgromadzonych w państwach członkowskich UE.
III. DPIA: wyjaśnienie w rozporządzeniu
W RODO na administratorów nakłada się obowiązek wdrożenia odpowiednich środków pozwalających zapewnić przestrzeganie przepisów RODO oraz możliwość wykazania przestrzegania tych przepisów, uwzględniając m.in. „ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia” (art. 24 ust. 1). Obowiązek przeprowadzania przez administratorów oceny skutków dla ochrony danych w określonych okolicznościach należy rozumieć w kontekście ich ogólnego obowiązku, jakim jest właściwe zarządzanie ryzykiem10 związanym z przetwarzaniem danych osobowych.
„Ryzyko” jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa ryzyka. „Zarządzanie ryzykiem” można natomiast zdefiniować jako skoordynowane działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod względem ryzyka.
W art. 35 odniesiono się do prawdopodobnego wysokiego ryzyka „naruszenia praw lub wolności osób fizycznych”. Jak wskazano w oświadczeniu Grupy Roboczej Art. 29 dotyczącym roli opartego na analizie ryzyka podejścia do ram prawnych w zakresie ochrony danych, odniesienie do „praw i wolności” osób, których dane dotyczą, dotyczy przede wszystkim prawa do ochrony danych i prywatności, ale może również obejmować inne prawa podstawowe, takie jak wolność słowa, wolność myśli, swoboda poruszania się, zakaz dyskryminacji, prawo do wolności, wolność sumienia i wolność religii.
Zgodnie z przewidzianym w RODO podejściem opartym na analizie ryzyka przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe w przypadku każdej operacji przetwarzania. Przeprowadzenia oceny skutków dla ochrony danych wymaga się natomiast wyłącznie w przypadku, gdy dany rodzaj przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (art. 35 ust. 1). Sam fakt niespełnienia warunków nakładających obowiązek przeprowadzenia oceny skutków dla ochrony danych nie zmniejsza jednak ogólnego obowiązku wdrożenia przez administratorów środków umożliwiających odpowiednie zarządzanie ryzykiem naruszenia prawa i wolności osób, których dane dotyczą. W praktyce oznacza to, że administratorzy muszą stale oceniać ryzyko powodowane przez czynności przetwarzania w celu określenia, kiedy dany rodzaj przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
Poniższy wykres ilustruje podstawowe zasady dotyczące DPIA w RODO:
A. Czego dotyczy DPIA? Pojedyncza operacja przetwarzania lub zbiór podobnych operacji przetwarzania
Ocena skutków dla ochrony danych może dotyczyć pojedynczej operacji przetwarzania danych. Art. 35 ust. 1 stanowi jednak, że „dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę”. W motywie 92 dodaje się, że „w niektórych okolicznościach rozsądnie i korzystnie byłoby nie ograniczać oceny skutków dla ochrony danych do pojedynczego projektu, na przykład w przypadkach gdy organy lub podmioty publiczne zamierzają ustanowić wspólną aplikację lub platformę przetwarzania lub gdy kilku administratorów planuje wprowadzić wspólną aplikację lub środowisko przetwarzania obejmujące sektor lub segment gospodarki lub szeroko rozpowszechnioną działalność horyzontalną”.
Do oceny wielu operacji przetwarzania, które są podobne pod względem charakteru, zakresu, kontekstu, celu i ryzyka można wykorzystać jedną ocenę skutków dla ochrony danych. Celem ocen skutków dla ochrony danych jest bowiem systematyczne analizowanie nowych sytuacji, które mogłyby prowadzić do wysokiego ryzyka naruszenia praw i wolności osób fizycznych, dlatego nie ma potrzeby przeprowadzania oceny skutków dla ochrony danych (tj. operacji przetwarzania przeprowadzonych w określonym kontekście i w konkretnym celu) w przypadkach, które zostały już przeanalizowane. Może to mieć miejsce w przypadku wykorzystania podobnej technologii do gromadzenia tego samego rodzaju danych do tych samych celów. Na przykład grupa władz miejskich, które instalują podobny system CCTV, może przeprowadzić pojedynczą ocenę skutków dla ochrony danych obejmującą przetwarzanie danych przez oddzielnych administratorów; lub podmiot w branży kolejowej (pojedynczy administrator) może zainstalować nadzór wideo na wszystkich stacjach kolejowych w ramach jednej oceny skutków dla ochrony danych. Może to również dotyczyć podobnych operacji przetwarzania prowadzonych przez różnych administratorów danych. W takich przypadkach należy udostępniać lub upubliczniać referencyjną ocenę skutków dla ochrony danych, wdrożyć środki opisane w ocenie skutków dla ochrony danych oraz przedstawić uzasadnienie przeprowadzenia pojedynczej oceny skutków dla ochrony danych.
Jeżeli operacja przetwarzania obejmuje współadministratorów, muszą oni dokładnie określić swoje obowiązki. W swojej ocenie skutków dla ochrony danych administratorzy powinni określić, która strona ponosi odpowiedzialność za poszczególne środki mające na celu wyeliminowanie ryzyka oraz za ochronę praw i wolności osób, których dane dotyczą. Każdy administrator danych powinien wyrazić swoje potrzeby i dzielić się przydatnymi informacjami bez ujawniania tajemnic (np.: ochrona tajemnicy przedsiębiorstwa, własności intelektualnej, poufnych informacji handlowych) albo słabych stron.
Ocena skutków dla ochrony danych może być również przydatna do oceny skutków dla ochrony danych wywieranych przez dany produkt technologiczny, np. sprzęt lub oprogramowanie, gdy istnieje prawdopodobieństwo, że różni administratorzy danych będą korzystać z niego do przeprowadzania różnych operacji przetwarzania. Oczywiście administrator danych wdrażający produkt nadal jest zobowiązany do przeprowadzenia własnej oceny skutków dla ochrony danych w odniesieniu do tego konkretnego procesu wdrażania, ale w stosownych przypadkach może poinformować o tym fakcie za pomocą oceny skutków dla ochrony danych przygotowanej przez dostawcę produktu. Przykładem może być związek między producentami inteligentnych liczników a przedsiębiorstwami użyteczności publicznej. Każdy dostawca produktu lub podmiot przetwarzający powinien dzielić się przydatnymi informacjami bez ujawniania tajemnic i bez stwarzania zagrożeń dla bezpieczeństwa poprzez ujawnienie słabych stron.
B. Które operacje przetwarzania podlegają ocenie skutków dla ochrony danych? Z wyjątkiem operacji, które „mogą powodować wysokie ryzyko".
W niniejszej sekcji opisano sytuacje, w których przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe oraz sytuacje, w których nie jest to konieczne.
a) Kiedy przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe? Gdy przetwarzanie „może powodować wysokie ryzyko”.
W RODO nie wymaga się przeprowadzenia oceny skutków dla ochrony danych w odniesieniu do każdej operacji przetwarzania, która może powodować ryzyko naruszenia praw i wolności osób fizycznych. Przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe wyłącznie w przypadku, gdy przetwarzanie „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (art. 35 ust. 1 zilustrowany art. 35 ust. 3 i uzupełniony art. 35 ust. 4). Jest to szczególnie istotne przy wprowadzaniu nowej technologii przetwarzania danych11.
W przypadkach, w których nie jest jasne, czy wymagane jest przeprowadzenie oceny skutków dla ochrony danych, Grupa Robocza Art. 29 zaleca jednak przeprowadzenie takiej oceny, ponieważ stanowi ona przydatne narzędzie ułatwiające administratorom przestrzeganie przepisów o ochronie danych.
Mimo że przeprowadzenie oceny skutków dla ochrony danych może być wymagane w innych okolicznościach, w art. 35 ust. 3 przedstawiono kilka przykładów, gdy operacja przetwarzania „może powodować wysokie ryzyko”, w szczególności w przypadku:
- „a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest
podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną12;
- b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa
w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 1013; lub
- c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie”.
Jak wskazuje wyrażenie „w szczególności” w zdaniu wprowadzającym w art. 35 ust. 3 RODO, wymienione przykłady nie stanowią wyczerpującego wykazu. Mogą występować operacje przetwarzania „wysokiego ryzyka”, których nie uwzględniono w wykazie, lecz stwarzają równie wysokie ryzyko. Wspomniane operacje przetwarzania powinny również podlegać ocenom skutków dla ochrony danych. Z tego powodu kryteria przedstawione poniżej wykraczają niekiedy poza proste wyjaśnienie tego, co należy rozumieć przez trzy przykłady podane w art. 35 ust. 3 RODO.
W celu przedstawienia bardziej konkretnego zbioru operacji przetwarzania wymagających przeprowadzenia oceny skutków dla ochrony danych ze względu na ich nieodłączne wysokie ryzyko, uwzględniając poszczególne elementy art. 35 ust. 1 i art. 35 ust. 3 lit. a)–c), wykaz, który zostanie przyjęty na szczeblu krajowym na mocy art. 35 ust. 4, i motywy 71, 75 i 91 oraz inne wspomniane w RODO odniesienia do operacji przetwarzania, które „mogą powodować wysokie ryzyko”14, należy wziąć pod uwagę dziewięć następujących kryteriów.
1. Ocena lub punktacja, w tym profilowanie i prognozowanie w szczególności na podstawie „aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą” (motywy 71 i 91). Przykładem tego może być instytucja finansowa sprawdzająca swoich klientów w referencyjnej bazie danych kredytowych lub bazie danych w zakresie przeciwdziałania praniu pieniędzy i zwalczania finansowania terroryzmu lub w bazie danych zawierającej informacje o nadużyciach finansowych; przykładem może być również przedsiębiorstwo biotechnologiczne bezpośrednio oferujące konsumentom badania genetyczne w celu oceny i prognozowania ryzyka wystąpienia choroby lub zagrożeń dla zdrowia, a także przedsiębiorstwo tworzące profile zachowań lub profile marketingowe w oparciu o wykorzystanie lub nawigację na swojej stronie internetowej.
2. Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku: przetwarzanie mające na celu podjęcie decyzji w sprawie osób, których dane dotyczą wywołujących „skutki prawne wobec osoby fizycznej” lub decyzji, które „w podobny sposób istotnie na nią wpływają” (art. 35 ust. 3 lit. a)). Przykładowo przetwarzanie może prowadzić do wykluczenia lub dyskryminacji osób fizycznych. Przetwarzanie mające niewielki wpływ na osoby fizyczne lub niemające na nie żadnego wpływu nie spełnia tego konkretnego kryterium. Dalsze wyjaśnienia dotyczące tych pojęć zostaną przedstawione w przyszłych wytycznych Grupy Roboczej Art. 29 dotyczących profilowania.
3. Systematyczne monitorowanie: przetwarzanie wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których dane dotyczą, w tym danych gromadzonych za pośrednictwem sieci lub ramach „systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie” (art. 35 ust. 3 lit. c))15. Ten rodzaj monitorowania stanowi jedno z kryteriów, ponieważ dane osobowe mogą być gromadzone w sytuacji, gdy osoby, których dane dotyczą, nie są świadome tego, kto gromadzi ich dane i w jaki sposób z nich korzysta. Ponadto osoby fizyczne mogą nie być w stanie uniknąć takiego rodzaju przetwarzania w przestrzeni publicznej (lub przestrzeni publicznie dostępnej).
4. Dane wrażliwe lub dane o charakterze wysoce osobistym: obejmują szczególne kategorie danych osobowych określone w art. 9 (np. informacje o poglądach politycznych obywateli) oraz dane osobowe dotyczące wyroków skazujących za przestępstwo lub naruszeń prawa zdefiniowane w art. 10. Przykładem może być szpital przechowujący dokumentację medyczną pacjentów lub prywatny detektyw przechowujący szczegółowe dane przestępców. Oprócz tych przepisów zawartych w RODO niektóre kategorie danych można uznać za zwiększające potencjalne ryzyko naruszenia praw i wolności osób fizycznych. Te dane osobowe uznaje się za szczególnie wrażliwe (zgodnie z powszechnym rozumieniem tego terminu), ponieważ są powiązane z gospodarstwem domowym i działalnością prywatną (taką jak łączność elektroniczna, której poufność należy chronić) lub ponieważ wpływają na wykonanie prawa podstawowego (takie jak dane dotyczące lokalizacji, których gromadzenie jest sprzeczne ze swobodą poruszania się), lub ponieważ ich naruszenie ma wyraźny wpływ na codzienne życie osób, których dane dotyczą (takie jak dane finansowe, które mogą zostać wykorzystane do oszustw płatniczych). W tym względzie może mieć znaczenie fakt, czy dane zostały upublicznione przez osobę, której dane dotyczą, czy przez osoby trzecie. Okoliczność, że dane osobowe są publicznie dostępne, może być uznana za czynnik w ocenie, jeżeli zgodnie z założeniami dane te miały być dalej wykorzystywane do określonych celów. Kryterium to może również obejmować dane takie jak dokumenty osobiste, wiadomości e-mail, pamiętniki, notatki z e-czytników wyposażonych w funkcję notatnika oraz dane mające bardzo osobisty charakter zawarte w aplikacjach rejestrujących codzienną aktywność.
5. Dane przetwarzane na dużą skalę: w RODO nie zawarto definicji pojęcia „przetwarzanie na dużą skalę”, choć w motywie 91 przedstawiono pewne wskazówki w tym zakresie. W każdym razie Grupa Robocza Art. 29 zaleca, aby przy ustalaniu, czy przetwarzanie danych odbywa się na dużą skalę, wziąć pod uwagę w szczególności następujące czynniki16:
- liczbę osób, których dane dotyczą – wyrażoną jako konkretna wartość albo jako odsetek populacji odniesienia;
- ilość danych lub zakres poszczególnych przetwarzanych pozycji danych;
- czas trwania lub trwałość czynności przetwarzania danych;
- zakres geograficzny czynności przetwarzania.
6. Dopasowywanie lub łączenie zbiorów danych np. pochodzących z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą17.
7. Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą (zob. motyw 75): przetwarzanie tego rodzaju danych stanowi jedno z kryteriów ze względu na zwiększoną nierównowagę sił między osobami, których dane dotyczą, a administratorem danych, co oznacza, że osoby fizyczne mogą mieć trudności z wyrażeniem zgody na przetwarzanie swoich danych lub z wyrażeniem sprzeciwu wobec ich przetwarzania, lub mogą mieć trudności z korzystaniem z przysługujących im praw. Do osób wymagających szczególnej opieki, których dane dotyczą, można zaliczyć dzieci (można je uznać za niezdolne do świadomego i przemyślanego sprzeciwienia się przetwarzaniu danych lub do wyrażenia zgody na przetwarzanie danych), pracowników, bardziej wrażliwe grupy społeczne wymagające szczególnej ochrony (osoby chore psychicznie, osoby ubiegające się o azyl lub osoby starsze, pacjenci itp.) oraz w każdą sytuację, gdy można stwierdzić brak równowagi między stanowiskiem osoby, której dane dotyczą, a stanowiskiem administratora.
8. Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych, takich jak połączenie technologii rozpoznającej odcisk palca i twarz w celu poprawy fizycznej kontroli dostępu itd. W RODO (art. 35 ust. 1 i motywy 89 i 91) wyjaśniono, że wykorzystanie nowej technologii zdefiniowanej „zgodnie ze stanem wiedzy technicznej” (motyw 91) może sprawić, iż konieczne będzie przeprowadzenie oceny skutków dla ochrony danych. Wynika to z tego, że zastosowanie takiej technologii może wiązać się z nowymi formami gromadzenia i wykorzystania danych, co może stwarzać ryzyko naruszenia praw i wolności osób fizycznych. W istocie osobiste i społeczne skutki wprowadzenia nowej technologii mogą nie być znane. Ocena skutków dla ochrony danych pomoże administratorowi danych zrozumieć takie ryzyko i je wyeliminować. Na przykład niektóre aplikacje „internetu rzeczy” mogą mieć znaczący wpływ na codzienne życie i prywatność osób fizycznych; dlatego wymagane jest przeprowadzenie oceny skutków dla ochrony danych.
9. Gdy samo przetwarzanie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy” (art. 22 i motyw 91). Obejmuje to operacje przetwarzania, których celem jest umożliwienie osobom, których dane dotyczą, uzyskania dostępu do usługi lub zawarcia umowy, zmiana tego dostępu lub odmówienie dostępu. Przykładem tego jest sytuacja, w której bank sprawdza swoich klientów w referencyjnej bazie danych kredytowych, aby zdecydować, czy udzielić im kredytu.
W większości przypadków administrator danych może uznać, że przetwarzanie spełniające dwa kryteria będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. Ogólnie rzecz biorąc, Grupa Robocza Art. 29 uważa, że im więcej kryteriów zostanie spełnionych w ramach przetwarzania, tym większe prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą, i dlatego wymaga przeprowadzenia oceny skutków dla ochrony danych, niezależnie od środków, jakie zamierza przyjąć administrator.
W niektórych przypadkach administrator danych może jednak uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych.
Poniższe przykłady ilustrują, w jaki sposób należy korzystać z kryteriów, aby ocenić, czy dana operacja przetwarzania wymaga przeprowadzenia oceny skutków dla ochrony danych:
Odwrotnie, operacja przetwarzania może odpowiadać wyżej wymienionym przypadkom i nadal być uznawana przez administratora za „mogącą powodować wysokie ryzyko”. W takich przypadkach administrator powinien uzasadnić i udokumentować powody, dla których nie przeprowadzono oceny skutków dla ochrony danych, oraz załączyć/zapisać poglądy inspektora ochrony danych.
Ponadto w ramach zasady rozliczalności każdy administrator danych „prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada” obejmujący m.in. cele przetwarzania, opis kategorii danych i odbiorców danych oraz „jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1” (art. 30 ust. 1), a także musi ocenić, czy istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka, nawet jeśli ostatecznie zdecyduje się nie przeprowadzać oceny skutków dla ochrony danych.
Uwaga: organy nadzorcze są zobowiązane ustanowić, podać do publicznej wiadomości i przekazać Europejskiej Radzie Ochrony Danych wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust. 4)18. Kryteria określone powyżej mogą pomóc organom nadzorczym w utworzeniu takiego wykazu, który w razie potrzeby można z czasem wzbogacić o bardziej szczegółowe treści. Na przykład przetwarzanie wszelkiego rodzaju danych biometrycznych lub danych dotyczących dzieci również można uznać za istotne dla opracowania wykazu zgodnego z art. 35 ust. 4.
b) Kiedy przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe? W przypadku, gdy nie jest prawdopodobne, aby operacja przetwarzania „mogła powodować wysokie ryzyko”, gdy przeprowadzono już podobną ocenę skutków dla ochrony danych, gdy operację zatwierdzono przed majem 2018 r., lub gdy posiada podstawę prawną lub znajduje się w wykazie operacji przetwarzania, które nie podlegają ocenie skutków dla ochrony danych.
Grupa Robocza Art. 29 uważa, że ocena skutków dla ochrony danych nie jest wymagana w następujących przypadkach:
- gdy nie jest prawdopodobne, aby operacja przetwarzania „mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych” (art. 35 ust. 1);
- gdy charakter, zakres, kontekst i cele przetwarzania są bardzo podobne do operacji przetwarzania, w przypadku których przeprowadzono ocenę skutków dla ochrony danych. W takich przypadkach można wykorzystać wyniki oceny skutków dla ochrony danych przeprowadzonej w odniesieniu do podobnych operacji przetwarzania (art. 35 ust. 119);
- gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach, które nie uległy zmianie20 (zob. rozdział III sekcja C);
- jeżeli operacja przetwarzania, zgodnie z art. 6 ust. 1 lit. c) lub e), ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, które reguluje daną operację przetwarzania, oraz jeżeli oceny skutków dla ochrony danych dokonano już w związku z przyjęciem tej podstawy prawnej (art. 35 ust. 10)21, chyba że państwo członkowskie uznało za niezbędne dokonanie oceny skutków dla ochrony danych przed rozpoczęciem czynności przetwarzania;
- jeżeli operacje przetwarzania zostały umieszczone w opcjonalnym wykazie (utworzonym przez organ nadzorczy) operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust. 5). Taki wykaz może zawierać czynności przetwarzania zgodne z warunkami określonymi przez ten organ, w szczególności poprzez wytyczne, konkretne decyzje lub zezwolenia, zasady zgodności itd. (np. we Francji: zezwolenia, zwolnienia, uproszczone zasady, pakiety zgodności itd.).W takich przypadkach i z zastrzeżeniem przeprowadzenia ponownej oceny przez właściwy organ nadzorczy przeprowadzenie oceny skutków dla ochrony danych nie jest wymagane, ale tylko wtedy, gdy przetwarzanie danych ściśle podlega zakresowi odpowiedniej procedury wymienionej w wykazie i nadal jest w pełni zgodne ze wszystkimi wymogami określonymi w RODO.
c) A co z już istniejącymi operacjami przetwarzania? W pewnych okolicznościach wymagane jest przeprowadzenie ocen skutków dla ochrony danych.
Wymóg przeprowadzenia oceny skutków dla ochrony danych dotyczy istniejących operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania danych.
Przeprowadzenie oceny skutków dla ochrony danych nie jest wymagane w przypadku operacji przetwarzania, które zostały skontrolowane przez organ nadzorczy lub urzędnika odpowiedzialnego za ochronę danych zgodnie z art. 20 dyrektywy 95/46/WE oraz które przeprowadzono w taki sam sposób jak przed kontrolą wstępną. W istocie „decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia” (motyw 171).
Z drugiej strony oznacza to, że oceną skutków dla ochrony danych należy objąć wszelkie operacje przetwarzania danych, w odniesieniu do których od czasu przeprowadzenia kontroli wstępnej przez organ nadzorczy lub urzędnika odpowiedzialnego za ochronę danych zmieniły się warunki wdrażania (zakres, cel, zgromadzone dane osobowe, tożsamość administratorów danych lub odbiorców, okres zatrzymywania danych, środki techniczne i organizacyjne itd.) i które mogą powodować wysokie ryzyko.
Ponadto przeprowadzenie oceny skutków dla ochrony danych może być wymagane po zmianie rodzaju ryzyka związanego z operacją przetwarzania22, np. z powodu wykorzystania nowej technologii lub dlatego, że dane osobowe wykorzystywane są w innym celu. Operacje przetwarzania danych mogą szybko ewoluować i mogą pojawić się nowe zagrożenia. Należy zatem zauważyć, że przegląd oceny skutków dla ochrony danych jest użyteczny nie tylko dla ciągłego doskonalenia, ale ma również kluczowe znaczenie dla utrzymania w przyszłości poziomu ochrony danych w zmieniającym się środowisku. Przeprowadzenie oceny skutków dla ochrony danych może być również konieczne ze względu na zmianę kontekstu organizacyjnego lub społecznego czynności przetwarzania, np. ponieważ skutki niektórych automatycznie podjętych decyzji stały się bardziej znaczące lub ponieważ nowe kategorie osób, których dane dotyczą, są narażone na dyskryminację. Każdy z tych przykładów może być elementem prowadzącym do zmiany ryzyka związanego z daną czynnością przetwarzania.
Z drugiej strony niektóre zmiany mogłyby również zmniejszyć ryzyko. Na przykład operacja przetwarzania może ewoluować w taki sposób, że decyzje nie będą już podejmowane automatycznie, lub działania monitorujące przestaną być realizowane systematycznie. W tym przypadku przegląd przeprowadzonej analizy ryzyka może wykazać, że nie ma już potrzeby przeprowadzenia oceny skutków dla ochrony danych.
Dobrą praktyką powinno być stałe przeprowadzanie przeglądu oceny skutków dla ochrony danych i regularne przeprowadzanie ponownej oceny. W związku z powyższym, nawet jeżeli w dniu 25 maja 2018 r. nie wymaga się przeprowadzenia oceny skutków dla ochrony danych, administrator będzie musiał w odpowiednim momencie przeprowadzić taką ocenę w ramach swoich ogólnych obowiązków w zakresie rozliczalności.
C. Jak przeprowadzić DPIA?
- W jakim momencie powinna zostać przeprowadzona DPIA? Przed rozpoczęciem przetwarzania.
Ocenę skutków dla ochrony danych należy przeprowadzić „przed rozpoczęciem przetwarzania” (art. 35 ust. 1 i 10, motywy 90 i 93)23. Jest to zgodne z zasadami dotyczącymi uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25 i motyw 78). Ocenę skutków dla ochrony danych należy postrzegać jako narzędzie wspomagające proces podejmowania decyzji w sprawie przetwarzania danych.
Ocena skutków dla ochrony danych powinna rozpocząć się jak najwcześniej w fazie projektowania operacji przetwarzania, nawet jeżeli niektóre operacje przetwarzania nadal są nieznane. Aktualizacja oceny skutków dla ochrony danych przez cały cykl trwania projektu zapewni uwzględnienie ochrony danych i prywatności oraz zachęci do tworzenia rozwiązań promujących zgodność. W miarę postępu procesu rozwoju konieczne może być również powtórzenie poszczególnych etapów oceny, ponieważ wybór niektórych środków technicznych lub organizacyjnych może wpłynąć na prawdopodobieństwo wystąpienia zagrożenia wynikającego z przetwarzania lub jego wagę.
Fakt, że aktualizacja oceny skutków dla ochrony danych może okazać się konieczna już po rozpoczęciu procesu przetwarzania, nie uzasadnia odroczenia lub nieprzeprowadzenia oceny skutków dla ochrony danych. Ocena skutków dla ochrony danych jest procesem ciągłym, szczególnie gdy operacja przetwarzania przebiega dynamicznie i podlega ciągłym zmianom. Prowadzenie oceny skutków dla ochrony danych jest procesem ciągłym, a nie jednorazowym.
- Kto jest zobowiązany do przeprowadzenia DPIA? Administrator danych, z DPO i podmiotem przetwarzającym (podmiotami przetwarzającymi).
Administrator jest odpowiedzialny za zapewnienie przeprowadzenia oceny skutków dla ochrony danych (art. 35 ust. 2). Ocenę skutków dla ochrony danych może przeprowadzić inny podmiot, zarówno z danej jednostki, jak i spoza niej, jednak ostateczna odpowiedzialność za wykonanie zadania spoczywa na administratorze.
Administrator musi również konsultować się z inspektorem ochrony danych (DPO), o ile został on wyznaczony (art. 35 ust. 2), a wyniki konsultacji i podjęte decyzje powinien udokumentować w ramach oceny skutków dla ochrony danych. DPO powinien również monitorować wykonanie oceny skutków dla ochrony danych (art. 39 ust. 1 lit. c)). Dalsze wskazówki można znaleźć w wytycznych Grupy Roboczej Art. 29 dotyczących inspektora ochrony danych 16/EN WP 243.
Jeżeli proces przetwarzania jest całkowicie lub częściowo realizowany przez podmiot przetwarzający dane, podmiot przetwarzający powinien pomóc administratorowi danych w przeprowadzeniu oceny skutków dla ochrony danych i dostarczyć wszelkie niezbędne informacje (zgodnie z art. 28 ust. 3 lit. f)).
„W stosownych przypadkach” administrator musi „zasięgnąć opinii osób, których dane dotyczą, lub ich przedstawicieli” (art. 35 ust. 9). Grupa Robocza Art. 29 uważa, że:
- opinie te można zebrać za pomocą różnych środków, w zależności od kontekstu (np. badanie ogólne dotyczące celu i środków operacji przetwarzania, pytanie do przedstawicieli pracowników lub zwykła ankieta wysłana do przyszłych klientów administratora danych), zapewniając, aby administrator miał podstawę prawną do przetwarzania wszelkich danych osobowych wykorzystywanych podczas zbierania takich opinii. Należy jednak zauważyć, że zgoda na przetwarzanie nie jest oczywiście sposobem na uzyskanie opinii osób, których dane dotyczą;
- jeżeli ostateczna decyzja administratora danych różni się od opinii osób, których dane dotyczą, należy udokumentować powody podjęcia, bądź niepodjęcia decyzji;
- administrator powinien również przedstawić uzasadnienie niezasięgnięcia opinii osób, których dane dotyczą, jeżeli uzna to za niewłaściwe, np. w przypadku gdy stanowiłoby ono zagrożenie dla poufności biznesplanów przedsiębiorstw lub byłoby nieproporcjonalne lub niewykonalne.
Ponadto dobrą praktyką jest zdefiniowanie i udokumentowanie innych konkretnych ról i obowiązków, w zależności od polityki wewnętrznej, procesów i zasad np.:
- w przypadku gdy poszczególne jednostki gospodarcze mogą zaproponować przeprowadzenie oceny skutków dla ochrony danych, powinny one dostarczyć dane wejściowe dotyczące tej oceny i powinny uczestniczyć w procesie zatwierdzania oceny;
- w stosownych przypadkach zaleca się zasięgnięcie opinii niezależnych ekspertów reprezentujących różne zawody24 (prawników, informatyków, ekspertów z zakresu bezpieczeństwa, socjologów, etyków itp.);
- role i obowiązki podmiotów przetwarzających muszą zostać określone w umowie; zaś ocenę skutków dla ochrony danych należy przeprowadzić z pomocą podmiotu przetwarzającego, uwzględniając charakter przetwarzania oraz dostępne mu informacje (art. 28 ust. 3 lit. f));
- główny urzędnik ds. bezpieczeństwa informacji, o ile został powołany, oraz DPO mogą zasugerować administratorowi przeprowadzenie oceny skutków dla ochrony danych w odniesieniu do konkretnej operacji przetwarzania oraz powinni pomóc zainteresowanym stronom w opracowaniu metodyki, w ocenie jakości oceny ryzyka, w stwierdzeniu, czy dopuszczalne jest ryzyko szczątkowe, oraz w rozwijaniu wiedzy odpowiedniej dla administratora danych;
- główny urzędnik ds. bezpieczeństwa informacji, o ile został powołany, lub pracownik działu IT, powinien zapewnić pomoc administratorowi oraz może zaproponować przeprowadzenie oceny skutków dla ochrony danych w odniesieniu do konkretnej operacji przetwarzania, wzależności od potrzeb operacyjnych i potrzeb związanych z bezpieczeństwem.
- Jaka jest metoda przeprowadzania DPIA? Różne metody, ale wspólne kryteria.
W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie:
- „opis planowanych operacji przetwarzania i celów przetwarzania”;
- „ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne”;
- „ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą”;
- „środki planowane w celu”:
- „zaradzenia ryzyku;”
- „wykazania przestrzegania niniejszego rozporządzenia”.
Na poniższym wykresie przedstawiono generyczny, iteracyjny proces przeprowadzania oceny skutków dla ochrony danych25:
Zgodność z kodeksem postępowania (artykuł 40) powinna być wzięta pod uwagę (artykuł 38 ust. 8) podczas oceniania skutków przetwarzania danych. Może to być przydatne do wykazania, że zostały wybrane lub wprowadzone odpowiednie środki, pod warunkiem że kodeks postępowania jest odpowiedni do danej operacji przetwarzania.
Wszystkie istotne wymogi określone w RODO stanowią szerokie, ogólne ramy projektowania i dokonywania DPIA. Praktyczne wdrożenie DPIA będzie zależeć od wymagań określonych w RODO, które mogą być uzupełnione bardziej szczegółowymi wskazówkami praktycznymi. To otwiera drogę do skalowalności, co oznacza, że nawet mały administrator danych może zaprojektować i wdrożyć odpowiednią DPIA.
Motyw 90 RODO wymienia szereg elementów DPIA, która pokrywają się z dobrze zdefiniowanymi elementami zarządzania ryzykiem ( np. ISO 3100025). W zakresie zarządzania ryzykiem DPIA ma na celu "zarządzanie ryzykiem" w odniesieniu do praw i wolności osób fizycznych przy użyciu następujących trzech procesów:
- ustalenie kontekstu: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka”;
- ocena ryzyka: „ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka”;
- przeciwdziałanie ryzyku: „minimalizować to ryzyko”, ”zapewniać ochronę danych osobowych” i „wykazać przestrzeganie niniejszego rozporządzenia”.
Uwaga: DPIA zgodnie z RODO jest narzędziem zarządzania ryzykiem naruszenia praw osób, których dane dotyczą, a tym samym przyjmuje stanowisko tych osób, jak to ma miejsce w innych dziedzinach (np. zabezpieczenia społeczne). Natomiast zarządzanie ryzykiem w innych dziedzinach (np. bezpieczeństwo informacji) skierowane jest na organizację. „Ryzyko” jest scenariuszem opisującym wydarzenie i jego konsekwencje szacowane pod względem stopnia wagi zdarzenia i prawdopodobieństwa. Artykuł 35 odnosi się do wysokiego ryzyka naruszenia „praw lub wolności osób fizycznych”. Jak wskazano w Oświadczeniu Grupy Roboczej Artykułu 29 ds. Ochrony Danych (GR Art. 29) 14/EN WP218 (str. 4), odniesienie do "praw i wolności" osób, których dane dotyczą, dotyczy przede wszystkim prawa do prywatności, ale może także obejmować inne podstawowe prawa, takie jak wolność słowa, wolność myśli, swoboda przemieszczania się, zakaz dyskryminacji, prawo do wolności, sumienia i religii.
RODO zapewnia administratorom danych elastyczność w określeniu dokładnej struktury i formy DPIA, aby umożliwić dostosowanie do istniejących praktyk zawodowych. W UE i na świecie istnieją różne ustalone procesy uwzględniające elementy opisane w motywie 90. Jednakże, niezależnie od jej formy, DPIA musi być realną oceną ryzyka, umożliwiającą administratorom podejmowanie działań mających na celu ich rozwiązanie.
Mogą być wykorzystane różne metodologie postępowania (w Załączniku 1 zobacz przykłady metodologii ochrony danych i metod oceny skutków dla ochrony danych) w celu realizacji podstawowych wymagań określonych w RODO.
By umożliwić istnienie różnych podejść, przy jednoczesnym umożliwieniu administratorom zapewnienia zgodności z RODO, ustalono wspólne kryteria (patrz załącznik 2). Wyjaśniają one podstawowe wymogi rozporządzenia, ale zapewniają wystarczający zakres dla różnych form wdrożenia. Kryteria te można wykorzystać do wykazania, że określona metodologia DPIA spełnia standardy wymagane przez RODO.
GR Art. 29 zachęca do opracowania sektorowych ram DPIA. Wynika to z tego, że mogąc korzystać z wiedzy sektorowej, DPIA może dotyczyć specyfiki konkretnego typu operacji przetwarzania (np.: poszczególnych rodzajów danych, aktywów przedsiębiorstwa, potencjalnych skutków, ryzyk, środków). Oznacza to, że DPIA może rozwiązywać problemy, które pojawiają się w danym sektorze gospodarczym lub podczas korzystania z określonych technologii albo przy określonych operacjach przetwarzania.
- Czy DPIA powinna zostać opublikowana? Tak, albo w całości albo w części, ponadto powinna zostać przekazane organowi nadzorczemu w przypadku uprzednich konsultacji.
Publikowanie DPIA nie jest wymagane przepisami RODO. Pozostaje w gestii administratora. Administratorzy danych powinni jednak rozważyć, co najmniej częściowe, opublikowanie DPIA. Celem takiego działania byłoby przyczynienie się do zwiększenia zaufania w stosunku do operacji przetwarzania danych u administratora, a także wykazanie rozliczalności i przejrzystości. Szczególnie dobrą praktyką jest publikowanie wyników DPIA w przypadku, w którym operacja przetwarzania ma wpływ na społeczeństwo. Może to być szczególnie możliwe w przypadku, gdy organ publiczny przeprowadza DPIA.
Opublikowana DPIA nie musi zawierać całej oceny, zwłaszcza gdy DPIA mogłaby przedstawić konkretne informacje dotyczące zagrożeń dla bezpieczeństwa administratora danych lub ujawnić tajemnice handlowe lub poufne informacje handlowe. Mogłaby się składać tylko z podsumowania najważniejszych ustaleń DPIA.
Ponadto, gdy DPIA ujawnia wysokie ryzyko szczątkowe, administrator danych będzie zmuszony zwrócić się o uprzednie konsultacje w celu przetwarzania do organu nadzorczego (art. 36 ust. 1). W ramach tej procedury należy dostarczyć DPIA (art. 36 ust. 3 lit. e).
E. Kiedy należy skonsultować się z organem nadzorczym? Gdy ryzyko szczątkowe jest wysokie.
Jak wyjaśniono powyżej:
- przeprowadzenie oceny skutków dla ochrony danych jest wymagane w przypadku, gdy operacja przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (art. 35 ust. 1, zob. rozdział III sekcja B lit. b)). Przykładowo przetwarzanie danych dotyczących zdrowia na dużą skalę uważa się za mogące powodować wysokie ryzyko i wymaga ono przeprowadzenia oceny skutków dla ochrony danych;
- w takim przypadku obowiązkiem administratora danych jest dokonanie oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą, oraz zidentyfikowanie środków29 planowanych w celu zmniejszenia tego ryzyka do dopuszczalnego poziomu i wykazania przestrzegania RODO (art. 35 ust. 7, zob. rozdział III sekcja C lit. c)). Przykładem, jeżeli chodzi o przechowywanie danych osobowych na laptopach, może być zastosowanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa (skuteczne szyfrowanie całego dysku, solidne zarządzanie kluczami, odpowiednia kontrola dostępu, zabezpieczone kopie zapasowe, itd.) uzupełniających środki stosowane w ramach istniejącej polityki (zawiadomienie, zgoda, prawo dostępu, prawo wniesienia sprzeciwu, itd.).
Jeżeli w przywołanym powyżej przykładzie dotyczącym laptopa administrator danych uznał ryzyko za dostatecznie ograniczone i można je za takie uznać zgodnie z brzmieniem art. 36 ust. 1 i motywów 84 i 94, przetworzenia można dokonać bez konsultacji z organem nadzorczym. Administrator danych musi skonsultować się z organem nadzorczym w sytuacji, gdy nie może dostatecznie ograniczyć zidentyfikowanego ryzyka (np. utrzymuje się wysokie ryzyko szczątkowe).
Przykład niedopuszczalnego wysokiego ryzyka szczątkowego obejmuje przypadki, w których osoby, których dane dotyczą, mogą ponieść znaczne lub nawet nieodwracalne konsekwencje, z którymi nie będą mogły sobie poradzić (np.: bezprawne uzyskanie dostępu do danych prowadzące do zagrożenia życia osób, których dane dotyczą, zwolnienie, zagrożenie o charakterze finansowym) lub w których wydaje się oczywiste, że wystąpi ryzyko (np.: ograniczenie liczby osób mających dostęp do danych nie jest możliwy ze względu na sposób ich udostępniania, wykorzystywania lub rozprowadzania lub gdy luka w zabezpieczeniach, o której istnieniu wiadomo, nie zostanie usunięta).
Zawsze gdy administrator danych nie może znaleźć środków wystarczających do zmniejszenia ryzyka do dopuszczalnego poziomu (np. ryzyko szczątkowe wciąż jest wysokie), wymagane są konsultacje z organem nadzorczym30.
Ponadto administrator będzie zobowiązany skonsultować się z organem nadzorczym zawsze, gdy prawo państwa członkowskiego wymaga, by administratorzy konsultowali się z organem nadzorczym lub uzyskiwali jego uprzednią zgodę w odniesieniu do przetwarzania danych osobowych przez administratora do celów wykonania zadania realizowanego przez niego w interesie publicznym, w tym przetwarzania w związku z ochroną socjalną i zdrowiem publicznym (art. 36 ust. 5).
Należy jednak zaznaczyć, że niezależnie od tego, czy wymagane są konsultacje z organem nadzorczym na podstawie poziomu ryzyka szczątkowego, obowiązki polegające na przechowywaniu dokumentacji związanej z oceną skutków dla ochrony danych i dokonywaniu aktualizacji oceny skutków dla ochrony danych w stosownym terminie, pozostają aktualne.
IV. Wnioski i Zalecenia
Oceny skutków dla ochrony danych stanowią przydatne narzędzie wykorzystywane przez administratorów danych do wdrażania systemów przetwarzania danych, które są zgodne z RODO, a przeprowadzenie tych ocen może okazać się obowiązkowe w przypadku niektórych rodzajów operacji przetwarzania. Oceny skutków dla ochrony danych są skalowalne i mogą przybierać różne formy, lecz w RODO określono podstawowe wymogi skutecznej oceny skutków dla ochrony danych. Administratorzy danych powinni postrzegać dokonywanie oceny skutków dla ochrony danych jako przydatne i pozytywne działanie, które przyczynia się do zachowania zgodności z prawem.
W art. 24 ust. 1 określono podstawowy obowiązek administratora w zakresie zachowania zgodności z RODO: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.
Dokonywanie oceny skutków dla ochrony danych ma zasadnicze znaczenie dla zachowania zgodności z rozporządzeniem, jeżeli planuje się lub odbywa się przetwarzanie danych, z którym wiąże się wysokie ryzyko. Oznacza to, że administratorzy danych powinni stosować kryteria określone w niniejszym dokumencie w celu ustalenia, czy należy dokonać oceny skutków dla ochrony danych. W ramach wewnętrznej polityki stosowanej przez administratorów danych można rozszerzyć ten wykaz poza wymogi prawne zawarte w RODO. Powinno to skutkować większym zaufaniem osób, których dotyczą dane, i pozostałych administratorów danych i uzyskaniem przez nich pewności.
W przypadku gdy planuje się przetwarzanie mogące powodować wysokie ryzyko, administrator danych musi:
- wybrać metodykę dokonywania oceny skutków dla ochrony danych (przykłady podano w załączniku 1), która spełnia kryteria określone w załączniku 2, lub określić i wdrożyć systematyczny proces dokonywania oceny skutków dla ochrony danych, który:
o jest zgodny z kryteriami zawartymi w załączniku 2;
- jest zintegrowany z istniejącym procesami projektowania, opracowywania, zmian, ryzyka i przeglądu operacyjnego zgodnie z procesami wewnętrznymi, kontekstem i kulturą;
- angażuje strony, których sprawa dotyczy, i w ramach, którego jasno określono ich obowiązki (administratora, DPO, osób, których dane dotyczą, lub ich przedstawicieli, przedsiębiorstw, służb technicznych, podmiotów przetwarzających, inspektora ds. bezpieczeństwa informacji, itd.);
- przedłożyć właściwym organom nadzorczym sprawozdanie z oceny skutków dla ochrony danych, gdy jest to wymagane;
- konsultować się z organem nadzorczym, jeżeli określenie środków wystarczających do zminimalizowania wysokiego ryzyka zakończyło się niepowodzeniem;
- okresowo dokonywać przeglądu oceny skutków dla ochrony danych i przetwarzania, którego oceny dokonano w jej ramach, przynajmniej gdy doszło do zmiany ryzyka wynikającego z przetwarzania operacji;
- dokumentować podjęte decyzje.
Załącznik 1 - Przykłady istniejących ram DPIA w Unii Europejskiej
W RODO nie określono, który proces dokonywania oceny skutków dla ochrony danych należy stosować, ale za to umożliwiono administratorom danych wprowadzanie ram, które uzupełniają dotychczas przez nich stosowane praktyki robocze, o ile uwzględniają one elementy składowe opisane w art. 35 ust. 7. Takie ramy mogą być dopasowane do indywidualnych potrzeb administratora danych lub wspólne dla całej określonej branży. Wcześniej opublikowane ramy, opracowane przez unijne organy ochrony danych oraz stosowane w UE ramy dla poszczególnych sektorów obejmują (m.in.):
Przykłady ogólnych ram UE:
- DE: Standard Data Protection Model, V.1.0 – Trial version, 201631. https://www.datenschutzzentrum.de/uploads/SDM-Methodology_V1_EN1.pdf
- ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014. https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
- FR: Privacy Impact Assessment (PIA), Commission nationale de l’informatique et des libertés (CNIL), 2015. https://www.cnil.fr/fr/node/15798
- UK: Conducting privacy impact assessments code of practice, Information Commissioner’s Office (ICO), 2014. https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf
Przykłady unijnych ram sektorowych:
- Privacy and Data Protection Impact Assessment Framework for RFID Applications32. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp180_annex_en.pdf
- Data Protection Impact Assessment Template for Smart Grid and Smart Metering systems33 http://ec.europa.eu/energy/sites/ener/files/documents/2014_dpia_smart_grids_forces.pdf
W ramach normy międzynarodowej zapewnione zostaną również wytyczne dotyczące metodyk stosowanych do dokonywania oceny skutków dla ochrony danych (ISO/IEC 2913434).
Załącznik 2 - Kryteria dopuszczalnej DPIA
GR Art. 29 proponuje następujące kryteria, które administratorzy danych mogą wykorzystać do oceny, czy DPIA lub metodologia przeprowadzania DPIA są wystarczająco obszerne, aby zapewnić zgodność z RODO:
- Zapewniony jest systematyczny opis operacji przetwarzania (artykuł 35 ust. 7):
- uwzględniono charakter, zakres, kontekst i cele przetwarzania są uwzględnione (Motyw 90);
- w rejestrze zamieszczono dane osobowe, informacje o odbiorcach i okresie przechowywania danych osobowych;
- przedstawiono funkcjonalny opis operacji przetwarzania;
- zidentyfikowano zasoby, z którymi styczność mają dane osobowe (sprzęt komputerowy, oprogramowanie, sieci, osoby, opracowania lub kanały transmisji opracowań);
- uwzględniono przestrzeganie zatwierdzonych kodeksów postępowania (art. 35 ust. 8);
- Oceniono niezbędność i proporcjonalność (artykuł 35 ust. 7 lit. b):
- wskazano środki, których podjęcie jest planowane w celu zapewnienia przestrzegania rozporządzenia (art. 35 ust. 7 lit. d) i motyw 90), uwzględniając:
- środki przyczyniające się do proporcjonalności i niezbędności przetwarzania, z uwzględnieniem następujących aspektów:
- konkretny, wyraźny i prawnie uzasadniony cel(e) (artykuł 5 ust. 1 lit. b);
- Zgodność przetwarzania z prawem (artykuł 6);
- adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów (artykuł 5 ust. 1 lit. c);
- ograniczenie okresu przechowywania (artykuł 5 ust. 1 lit. e);
- środki przyczyniające się do proporcjonalności i niezbędności przetwarzania, z uwzględnieniem następujących aspektów:
- wskazano środki, których podjęcie jest planowane w celu zapewnienia przestrzegania rozporządzenia (art. 35 ust. 7 lit. d) i motyw 90), uwzględniając:
- Środki przyczyniające się do praw osób, których dane dotyczą:
- informacje udzielone osobie, której dane dotyczą (artykuł 12, 13 i 14);
- prawo dostępu i przekazywania danych (artykuł 15 i 20);
- prawo do sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu (artykuł 16-19 i 21);
- relacje z podmiotem przetwarzającym (artykuł 28);
- zabezpieczenia dotyczące przekazywania danych (Rozdział V);
- uprzednie konsultacje (artykuł 36);
- przeprowadzono działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c)):
- Uwzględnienie źródła, charakteru, specyfiki i powagi tego ryzyka (porównaj motyw 84); lub dokładniej, w odniesieniu do każdego ryzyka (nieuprawnionego dostępu, niepożądanej modyfikacji i zniknięcia danych) z punktu widzenia osób, których dane dotyczą:
- uwzględniono źródło ryzyka (motyw 90);
- zidentyfikowano możliwe skutki dla praw i wolności osób, których dane dotyczą, w przypadku zdarzeń takich jak bezprawny dostęp, niepożądane zmiany i zniknięcie danych;
- zidentyfikowano zagrożenia, które mogłyby doprowadzić do bezprawnego dostępu, niepożądanych zmian i zniknięcia danych;
- oszacowano prawdopodobieństwo i powagę tego ryzyka (motyw 90);
- określono środki, których podjęcie jest planowane w celu zaradzenia ryzyku (art. 35 ust. 7 lit. d) i motyw 90);
- zaangażowanie zainteresowanych stron:
- skonsultowano się z inspektorem ochrony danych w celu uzyskania zalecenia (artykuł 35 ust. 2);
- zasięgnięto opinii osób, których dane dotyczą lub ich przedstawicieli (artykuł 35 ust. 9);
1Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
2W innych kontekstach w odniesieniu do tej samej koncepcji często stosuje się pojęcie „ocena skutków w zakresie prywatności”.
3Artykuł 27 dyrektywy (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych również stanowi, że konieczna jest ocena skutków dla ochrony danych, jeżeli „przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”
4 RODO nie definiuje formalnie pojęcia DPIA jako takiego, ale
- minimalny zakres DPIA jest określony w artykule 35 ust. 7 jako obejmujący:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy;
- znaczenie i rola DPIA określono w motywie 84: „Aby poprawić przestrzeganie niniejszego rozporządzenia, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka”.
5 Patrz także motyw 84: „Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z niniejszym rozporządzeniem”.
6 Oświadczenie Grupy Roboczej Art. 29 WP 218 dotyczące roli opartego na ryzyku podejścia do ram prawnych ochrony danych przyjęte 30 maja 2014 r. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp218_en.pdf?wb48617274=72C54532
7 Wytyczne Grupy Roboczej Art. 29 dotyczące inspektora ochrony danych 16/EN WP 243 przyjęte 13 grudnia 2016 r. http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf?wb48617274=CD63BD9A
8 Opinia Grupy RoboczejArt. 29 03/2013 w sprawie ograniczenia celu 13/EN WP 2013 przyjęta 2 kwietnia 2013 r. http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf?wb48617274=39E0E409
9 Np. ISO 31000:2009, Zarządzanie ryzykiem – Zasady i wytyczne, Międzynarodowa Organizacja Normalizacyjna (ISO); ISO/IEC 29134 (projekt), IT – Techniki bezpieczeństwa – Ocena skutków dla ochrony prywatności – Wytyczne, Międzynarodowa Organizacja Normalizacyjna (ISO).
10Należy podkreślić, że aby być w stanie zarządzać ryzykiem naruszenia praw i wolności osób fizycznych, ryzyko to należy określić, przeanalizować, oszacować, ocenić, wyeliminować (np. złagodzić...) oraz poddawać regularnym przeglądom. Administratorzy nie mogą uniknąć odpowiedzialności, zawierając umowy ubezpieczeniowe na wypadek danego ryzyka.
11 Więcej przykładów można znaleźć w motywach 89 i 91 oraz w art. 35 ust. 1 i 3.
12Zob. motyw 71: „w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych”.
13Patrz motyw 75: „jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa”.
14 Patrz np. motywy 75, 76, 92, 116.
15 GR Art. 29 interpretuje „systematyczne” jako jedno lub więcej z poniższych pojęć (patrz Wytyczne GR Art. 29 dotyczące inspektora ochrony danych 16/EN WP 243):
- Występujące zgodnie z określonym systemem;
- Zaaranżowane, zorganizowane lub metodyczne;
- Odbywające się w ramach generalnego planu zbierania danych;
- Przeprowadzone w ramach określonej strategii.
GR Art. 29 interpretuje „miejsce dostępne publicznie” jako każde miejsce dostępne dla każdego członka społeczeństwa, na przykład plac, centrum handlowe, ulica lub biblioteka publiczna.
16 Patrz Wytyczne GR Art. 29 dotyczące inspektora ochrony danych 16/EN WP 243.
17 Patrz wyjaśnienie w Opinii GR Art. 29 w sprawie ograniczenia celu 13/EN WP 203, str. 24.
18 W tym kontekście „Jeżeli wykazy takie obejmują czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii, przed przyjęciem takich wykazów właściwy organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63” (artykuł 35 ust. 6)
19 „Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę”
19 Proszę zauważyć, że gdy DPIA została dokonana na etapie propozycji podstawy prawnej, z dużym prawdopodobieństwem będzie wymagała przeglądu przed rozpoczęciem operacji, ponieważ przyjęta podstawa prawna może różnić się od propozycji w sposób, który wpływa na skutki dla ochrony danych i prywatności.
20 Decyzje przyjęte przez Komisję oraz zezwolenia wydane przez organy nadzorcze na podstawie dyrektywy 95/46/WE pozostają w mocy do czasu ich zmiany, zastąpienia lub uchylenia (motyw 171)
21 Jeżeli ocena skutków dla ochrony danych przeprowadzana jest na etapie opracowywania prawodawstwa zapewniającego podstawę prawną dla przetwarzania, przegląd będzie prawdopodobnie wymagany przed rozpoczęciem operacji, ponieważ przyjęte prawodawstwo może się różnić od proponowanego w sposób, który wpływa na kwestie związane z prywatnością i ochroną danych. Ponadto w momencie przyjmowania prawodawstwa mogą nie być dostępne wystarczające szczegóły techniczne dotyczące faktycznego przetwarzania danych, nawet jeżeli przeprowadzono ocenę skutków dla ochrony danych. W takich przypadkach nadal konieczne może być dokonanie określonej oceny skutków dla ochrony danych przed rozpoczęciem rzeczywistych czynności przetwarzania.
22 Pod względem kontekstu, zgromadzonych danych, celów, funkcji, przetwarzanych danych osobowych, odbiorców, kombinacji danych (aktywa pomocnicze, źródła ryzyka, potencjalne skutki, zagrożenia itd.), środków bezpieczeństwa i międzynarodowego przekazywania danych.
23Z wyjątkiem przypadków, gdy jest to już istniejąca operacja przetwarzania, która została poddana kontroli wstępnej przez organ nadzorczy. W takim przypadku ocenę skutków dla ochrony danych należy przeprowadzić przed wprowadzeniem znaczących zmian
24Zalecenia dotyczące ram oceny wpływu na prywatność w Unii Europejskiej, Dokument D3: Http://www.piafproject.eu/ref/PIAF_D3_final.pdf.
25 Należy podkreślić, że przedstawiony tutaj proces jest iteracyjny: w praktyce prawdopodobne jest, że każdy z etapów jest wielokrotnie ponownie poddawany przeglądowi przed zakończeniem DPIA.
26 Procesy zarządzania ryzykiem: komunikacja i konsultacje, określanie kontekstu, ocena ryzyka, zarządzanie ryzykiem, monitorowanie i przegląd (zob. definicje oraz spis treści w podglądzie ISO 31000: https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-1:v1:en).
27W art. 35 ust. 10 wyraźnie wyłączono zastosowanie jedynie art. 35 ust. 1–7.
28 W myśl art. 36 ust. 2 udzielenie administratorowi pisemnego zalecenia jest niezbędne wyłącznie w przypadku, gdy organ nadzorczy jest zdania, że zamierzone przetwarzanie nie jest zgodne z rozporządzeniem.
29 W tym uwzględnienie istniejących wytycznych od Europejskiej Rady Ochrony Danych i organów nadzorczych oraz uwzględnienie stanu techniki i kosztów wdrażania, jak określono w art. 35 ust. 1.
30Uwaga: „pseudonimizacja oraz szyfrowanie danych osobowych” (a także minimalizacja danych, mechanizmu nadzoru itd.) niekoniecznie stanowią odpowiednie środki. Stanowią one jedynie przykłady. W zależności od kontekstu i ryzyka odpowiednie są różne środki, właściwe dla operacji przetwarzania.
31Zatwierdzony jednomyślnie i przez aklamację (przy wstrzymującej się Bawarii) na 92. konferencji niezależnych organów ochrony danych z federacji i krajów związkowych, która odbyła się w Kühlungsborn w dniach 9–10 listopada 2016 r.
32Zobacz również:
- Zalecenie Komisji z dnia 12 maja 2009 r. w sprawie wdrażania zasad ochrony prywatności i ochrony danych w zastosowaniach wspieranych identyfikacją radiową,
- Opinia 9/2011 na temat zmienionej propozycji sektora w sprawie ram oceny skutków w zakresie ochrony danych i prywatności w zastosowaniach RFID,
33 Zobacz Opinię 7/2013 w sprawie szablonu oceny skutków w zakresie ochrony danych na potrzeby inteligentnych sieci i inteligentnych systemów pomiarowych, opracowanego przez grupę ekspertów nr 2 w ramach grupy zadaniowej Komisji ds. inteligentnych sieci, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp209_en.pdf
34 ISO/IEC 29134 (projekt), Information technology – Security techniques - Metodyka szacowania skutków dla prywatności, Międzynarodowa Organizacja Normalizacyjna (ISO)
Wytyczne dotyczące oceny skutków dla ochrony danych DPIA
Pobierz plik [1.37 MB]