Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Podobieństwa i różnice w metodologiach przeprowadzania oceny skutków dla ochrony danych DPIA

14/12/2017

Ocena Ryzyka Danych Osobowych, Ocena Skutków Dla Ochrony Danych, Dpia, Rozporządzenie O Danych Osobowych, Rozporządzenie O Ochronie Danych,

Konieczność prowadzenia oceny skutków dla ochrony danych czyli ang. Data Protection Impact Assessment DPIA została nałożona przez europejskiego ustawodawcę na mocy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 roku, powszechnie zwanego RODO.


Powyższy obowiązek wynika z art. 35 ogólnego rozporządzenia o ochronie danych i nakładany jest na administratora danych.

 

W jakich sytuacjach dokonuje się oceny skutków?                                                                                                                     

Ocena skutków dla ochrony danych jest konieczna w następujących przypadkach:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która oparta jest na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  2. przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa; lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

 

Przykłady zastosowania metodologii DPIA w Unii Europejskiej

Należy zdać sobie sprawę, że obowiązujące przepisy nie wskazują jedynej i słusznej metody przeprowadzenia DPIA. Jednak, zgodnie z art. 35 ust. 7 motywami 84 i 90 rozporządzenia o danych osobowych, wyróżnione zostały wspólne kryteria, które winny zawierać m.in.: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania; ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; ocenę ryzyka naruszenia praw lub wolności osób, a wreszcie- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą i innych osób, których sprawa dotyczy.

Podobieństwa i różnice w metodologiach DPIA w Unii Europejskiej doskonale ilustrują przykłady Wielkiej Brytanii, Niemiec i Francji.

 

Wielka Brytania

W Wielkiej Brytanii metodologia PIA (Privacy Impact Assessment), ponieważ tak została nazwana ocena skutków przetwarzania dla ochrony danych osobowych, opracowana została przez ICO (Information Commissioner’s Office). W swych założeniach kodeks miał wspomagać organizacje w efektywnym wypełnianiu obowiązków z zakresu ochrony danych osobowych, zapewniać wykrywanie potencjalnych problemów we wczesnym stadium oraz poprawiać relacje pomiędzy organizacjami, a osobami fizycznymi.

Kodeks, ponieważ w taki sposób spisano przywołana metodologię, rozróżnia dwa podstawowe rodzaje prywatności: prywatność osób fizycznych oraz prywatność informacyjną. Pierwsza, przyznaje osobie fizycznej prawo do własnej przestrzeni, odosobnienia. Druga natomiast, wyposaża osobę fizyczną w prawo do kontroli, edycji oraz usuwania informacji o sobie samym. Należy przy tym zaznaczyć, że kodeks koncentruje się głównie na aspektach prywatności informacyjnej.

ICO podkreśla, że mechanizm oceny skutków przetwarzania dla ochrony danych osobowych stanowi bardzo skuteczne narzędzie mimo iż nie jest uregulowany prawem. PIA utwierdza  osoby fizyczne w przekonaniu, że ich dane przetwarzane są zgodnie z najlepszą praktyką. Co więcej, pomaga zrozumieć w jaki sposób i dlaczego przetwarzane są dane osób fizycznych. W konsekwencji, zmniejsza prawdopodobieństwo naruszenia obowiązków wynikających z obowiązujących regulacji.

Proces przeprowadzenia oceny skutków opiera się na następujących założeniach:

  1. rozpoznaniu potrzeby przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych,
  2. opisaniu przepływu danych,
  3. identyfikacji ryzyka dla prywatności oraz powiązanych zagrożeń,
  4. rozpoznaniu i ewaluacji rozwiązań dla prywatności,
  5. wycofaniu oraz nagraniu wyników PIA,
  6. zespoleniu wyników w planie projektu,
  7. konsultacji z wewnętrznymi oraz zewnętrznymi udziałowcami, zgodnie z oczekiwaniami w trakcie procesu.

 

Model angielski koncentruje się w dużej mierze na identyfikacji ryzyka dla prywatności oraz powiązanych ryzykach. Ryzyko w odniesieniu do osób fizycznych to np. nieodpowiednie użycie danych, naruszenie zabezpieczeń dot. przetwarzania danych osobowych. W kontekście ryzyka dla instytucji należałoby wskazać na zagrożenie dla reputacji, obciążenia finansowe czy naruszenie danych. Poza wskazanymi powyżej, model angielski wyróżnia ryzyko braku zgodności przejawiające się brakiem zgodności z regulacjami w zakresie komunikacji elektronicznej czy regulacjami dot. praw człowieka.

 

Niemcy

W Niemczech opracowano SDM (Standard-Datenschutzmodell), który ma stanowić koncepcję dla konsultacji w zakresie jednolitych ram ochrony danych. Autorzy wskazują na unikatowy charakter tej metody. SDM stanowi nie tylko metodologię, ale również określony zbiór środków ochrony danych. Nadto, SDM wyposaża w mechanizmy, które umożliwiają implementację GDPR przy pomocy środków technicznych i organizacyjnych.

Model niemiecki, w centrum swoich założeń stawia kontrolerów ochrony danych, systematyczne planowanie, wdrażanie oraz monitorowanie odpowiednich funkcji i środków ochronnych. Z drugiej jednak strony, koncentruje się wokół organów nadzoru, umożliwiając im wypracowanie transparentnych, wiarygodnych osądów na temat procedur oraz ich elementów składowych. Analizę oceny skutków należałoby zatem rozpocząć od ustalenia kontrolera przetwarzania danych oraz celu przetwarzania danych w ujęciu biznesowym. Należy wskazać, że model SDM może być stosowany przez wszystkich szesnastu oficerów ochrony danych, rozdzielonych pomiędzy poszczególne landy. SDM transferuje prawne założenia ochrony danych osobowych do katalogu założeń ochronnych, a także klasyfikuje dane w trzystopniowym systemie ochrony danych.

SDM zakłada, że poziom ochrony danych jest sklasyfikowany zgodnie z tym w jaki sposób mieszają się dane w trakcie ich przetwarzania.  Zgodnie z powyższym, wyróżniamy 3 poziomy ochrony danych: poziom ochrony podstawowej, ochrony wysokiej oraz ochrony bardzo wysokiej. Pierwszy z wymienionych jest podstawowym poziomem ochrony danych osobowych. Jednocześnie, przetwarzając dane  osobowe nie wolno stosować słabszej ochrony niż podstawowa. Poziom wysoki dotyczy m.in.: przetwarzania danych biometrycznych, genetycznych czy danych związanych z ochroną zdrowia. Natomiast poziom ochrony bardzo wysokiej stosowany jest w sytuacjach gdy podmiot ochrony danych jest bezpośrednio zależny od decyzji podmiotu przetwarzającego dane.

 

Model niemiecki za przedmiot swoich regulacji stawia analizę ryzyka, która opiera się na czterech filarach:

  1. motywacji organizacji do modyfikacji celów zastosowania danych w nieautoryzowany sposób,
  2. ewaluacji możliwości operacyjnych,
  3. efektów przetwarzania danych osobowych do państw trzecich,
  4. ewaluacji zasięgu adaptacji środków w zakresie bezpieczeństwa informacyjnego.

 

Francja

Francuski dokument zarządzania ryzykiem w prywatności przygotowany przez CNIL (Commission Nationale de I’Informatique et des Libertes), opisuje metodę zarządzania ryzykami jakie mogą wyniknąć dla osób fizycznych w związku z przetwarzaniem danych osobowych. Metoda ta, polega na przyjęciu analitycznego podejścia do doskonalenia zarządzania przetwarzaniem danych osobowych. W szczególności, w sytuacji gdy ryzyka są złożone bądź zidentyfikowane zagrożenia są wysokie. Model francuski może nie być przydatny w przypadku pojedynczego zbioru danych stworzonego do monitorowania postępu realizacji projektu. Z pewnością jednak posłuży w sytuacji złożonego przetwarzania wrażliwych danych osobowych.

 

Przywołany dokument jest przeznaczony przede wszystkim dla interesariuszy w ramach tworzenia bądź doskonalenia procesu przetwarzania danych osobowych :

  1. organów kontrolnych,
  2. właścicieli procesów/przedsiębiorstw,
  3. głównych wykonawców,
  4. administratorów bezpieczeństwa informacji (ABI),
  5. głównych administratorów bezpieczeństwa informacji (GABI),

aby zapewnić im pomoc w zakresie egzekwowania prawa.

 

Przedstawiany model nawiązuje do globalnego podejścia w zakresie zarządzania ryzykiem. Samo ryzyko tłumaczone jest jako jedno zdarzenie, którego się obawiamy oraz wszelkie zagrożenia, które to umożliwiają. Poziom ryzyka szacowany jest w oparciu o powagę oraz prawdopodobieństwo. Powaga, inaczej wielkość ryzyka- zależy od poziomu identyfikacji danych osobowych oraz poziomu konsekwencji potencjalnych wpływów. Prawdopodobieństwo to oczywiście możliwość wystąpienia ryzyka. Kształtowane jest w oparciu o poziom podatności aktywów oraz poziom możliwości źródeł ryzyka.

 

Metoda zarządzania ryzykiem uważana jest za najbezpieczniejszy sposób na zapewnienie obiektywności i odpowiedniości podejmowanych wyborów w czasie ustanawiania przetwarzania danych osobowych. Model francuski opiera się na analizie następujących elementów:

  1. kontekstu przetwarzania danych,
  2. zdarzeń, których się obawiamy w tym konkretnym kontekście,
  3. możliwych zagrożeń,
  4. zaangażowanych ryzykach,
  5. odpowiednich środków do ich potraktowania.

Sama analiza może dotyczyć m.in.: informacji, zdarzeń, zagrożeń, ryzyka czy środków. Należy rozpocząć od poziomu identyfikacji danych osobowych tj.: na ile łatwo jest zidentyfikować osoby, których dane dotyczą. Następnie, szacowany jest negatywny skutek każdego zdarzenia, a dokładniej fakt na ile spowodowałby wszystkie potencjalne wpływy. Na sam koniec ustalana jest powaga- przez dodanie odpowiedniego poziomu identyfikacji danych osobowych oraz negatywnych skutków uzyskanych wartości potencjalnych wpływów. Wykryte w trakcie analizy zagrożenia dzielą się na grupy w zależności od tego czy mają wpływ na poufność, integralność czy dostępność.

 

Podobieństwa i różnice

Konkludując, należy zauważyć, że przywołane modele posiadają wiele wspólnych mianowników. Przede wszystkim, odnoszą się do ochrony danych osobowych, koncentrują się na analizie ryzyka oraz traktują zarówno o osobach fizycznych jak i podmiotach przetwarzających dane osobowe.

Różne są z pewnością cele przyświecające przytoczonym metodologią. W Wielkiej Brytanii, głównym celem było poprawienie relacji pomiędzy osobami fizycznymi, a instytucjami, które mają przetwarzać dane. W Niemczech natomiast, w centrum regulacji znaleźli się kontrolerzy oraz organy nadzorujące, a przede wszystkim wdrażanie środków organizacyjnych i technicznych, które przewidywał dokument. Francuskie regulacje będą szczególnie przydatne w kontekście złożonego przetwarzania wrażliwych danych osobowych. Trzeba podkreślić, że model francuski wydaje się być najbardziej analitycznym ze wszystkich, zwłaszcza w zakresie analizy ryzyka.

Czas pokaże, który z modeli okaże się najbardziej skutecznym. Z pewnością każdy z nich opracowany został w kontekście sytuacji społecznej, politycznej i ekonomicznej stąd bezpośrednia implementacja powyższych metodologii w innych państwach wymagałaby stosownej korekty.

 

Karolina Kleina

 

 

Ocena Ryzyka Danych Osobowych, Ocena Skutków Dla Ochrony Danych, Dpia, Rozporządzenie O Danych Osobowych, Rozporządzenie O Ochronie Danych,
Czeski Urząd Danych Osobowych Czech ogłasza nowy proces DPIA dla procesów legislacyjnych
Czeski Urząd Danych Osobowych Czech ogłasza nowy proces DPIA dla procesów legislacyjnych
Komunikat PUODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony
Komunikat PUODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony
Europejska Rada Ochrony Danych (EROD) wydała opinie na temat wykazów rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych.
Europejska Rada Ochrony Danych (EROD) wydała opinie na temat wykazów rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych.