Czym jest DPIA?
Często używany ostatnio skrót DPIA pochodzi od angielskiego Data Protection Impact Assessment. Jego etymologii należy poszukiwać w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO.
DPIA oznacza ocenę skutków przetwarzania danych osobowych dla ochrony tych danych.
Założenia DPIA z motywów RODO
W przypadku, gdy operacje przetwarzania danych osobowych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka.
Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z rozporządzeniem.
Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy skonsultować się z organem nadzorczym.
Powyżej przytoczono motyw 84 RODO, który znalazł swoje odzwierciedlenie w Rozdziale IV Sekcja 3 Rozporządzenia – art. 35 Ocena skutków dla ochrony danych i art. 36 Uprzednie konsultacje.
Kiedy należy przeprowadzić DPIA?
Jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych należy, przed rozpoczęciem takiego przetwarzania, dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Obowiązek taki ciąży oczywiście na potencjalnym administratorze przetwarzanych w taki sposób danych i dotyczy wszelkich czynności związanych z danymi osobowymi, tzn. nawet jeżeli zamierzamy je tylko przeglądać lub zbierać.
W drodze delegacji wynikającej z art. 35 pkt. 4 RODO Prezes Urzędu Ochrony Danych Osobowych wydał Komunikat w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (bezpośrednią podstawę prawną dla Komunikatu stanowi art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Zgodnie z zwartym w Komunikacie wykazem operacjami przetwarzania danych osobowych, które bezwzględnie wymagają oceny skutków przetwarzania są m.in.:
- Profilowanie użytkowników portali społecznościowych w celach wysyłania niezamówionej informacji handlowej (spam);
- Ocena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji;
- Optymalizacja składki ubezpieczeniowej;
- Systemu monitoringu wykorzystywane do zarządzania ruchem (np. odcinkowy pomiar prędkości);
- Systemy monitorowania czasu pracy pracowników;
- Gromadzenie i wykorzystywanie danych przez aplikacje mobilne;
- Dostarczanie mediów w zakresie inteligentnego opomiarowania.
Pełny wykaz dostępny jest na stronie UODO lub bezpośrednio pod adresem http://monitorpolski.gov.pl/MP/2018/827/.
Co powinna zawierać DPIA?
Ocena skutków dla ochrony danych powinna zawierać co najmniej: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę adekwatności operacji przetwarzania w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz środki planowane w celu zaradzenia ryzyku.
Jeżeli ma to zastosowanie, należy uwzględnić prawnie uzasadniony interes realizowany przez administratora, a opisując środki zaradcze należy ująć zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Co więcej w stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą. Jeżeli natomiast ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.
Jak przeprowadzić DPIA?
Pierwszym etapem oceny skutków jest przeprowadzenie ogólnej oceny ryzyka, z której będzie wynikało, czy proces przetwarzania posiada wysoki stopień prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą i czy, w związku z tym, należy dokonać pogłębionej analizy – oceny skutków dla ochrony danych (DPIA).
Istotnym jest, iż analiza powinna być dokonana przed przystąpieniem do przetwarzania lub przed zmianą procesu przetwarzania danych osobowych (np. zmiana podmiotu przetwarzającego, zastosowanie nowego systemu informatycznego, rozpoczęcie profilowania podmiotów danych itp.).
Przechodząc do analizy oceny skutków przetwarzania należy w pierwszej kolejności odpowiedzieć na pytania o podstawy prawne przetwarzania (umowa, zgoda, prawnie uzasadniony interes – w tym przypadku należy go ponownie uzasadnić), określić cele przetwarzania oraz dokonać weryfikacji, czy dane osobowe są niezbędne do osiągnięcia celów przetwarzania.
Następnie należy ocenić ryzyko związane z miejscem przetwarzania danych osobowych (systemy kontroli dostępu do budynków, miejsca hostingu itd.) oraz dokonać analizy, czy istnieją mechanizmy zapewniające prawidłowość przetwarzanych danych.
Następnie analizujemy, czy przechowywanie danych zostało zaprojektowane na czas wyłącznie niezbędny do osiągnięcia celów przetwarzania, czy może istnieją wyjątkowe okoliczności, w których pewne dane przechowywane są ponad zwyczajowe okresy oraz w jaki sposób zapewnione jest usuwanie danych po okresie przetwarzania. Analiza powinna również uwzględnić procedury przetwarzania, czy w trakcie procesu dojdzie do profilowania, jakie będą sposoby realizacji praw podmiotów danych oraz czy będzie dokonywany transfer danych poza obszar EOG.
Jeżeli proces przetwarzania zakłada wykorzystanie pomiotu przetwarzającego należy ocenić ryzyko przetwarzania przez ten podmiot wraz z oceną ryzyka związanego z transferem danych do procesora (szyfrowanie danych, czy istnieje możliwość wycieku danych w trakcie przesyłu).
Opis planowanych operacji i celów przetwarzania powinien być udokumentowany w celu zapewnienia rozliczalności przetwarzania. Brak odpowiedniej dokumentacji również stanowi ryzyko naruszenia praw i wolności osób, których dane dotyczą.
O czym należy pamiętać przeprowadzając DPIA?
Identyfikując zagrożenia i ich potencjalne skutki dla prywatności (ochrony podmiotów danych) należy uwzględnić m.in. brak podstawy przetwarzania lub przetwarzanie niezgodne z pierwotnym celem, przetwarzanie niekompletnych danych, ich nieuzasadnione użycie lub ujawnienie. Zbyt szeroki zakres przetwarzania danych (niezgodność z zasadą minimalizacji), przechowywanie danych po wygaśnięciu celu przetwarzania oraz ujawnienie danych nieuprawnionym podmiotom.
Oceniając ryzyko stosujemy macierz poziomu ryzyka oraz działania względem jego poziomu. Dokonując analizy oceny skutków przetwarzania należy ocenić ryzyko przed i po uwzględnieniu środków zaradczych.
Co powinna zawierać dokumentacja DPIA?
Dokumentacja DPIA (oceny skutków dla przetwarzania) powinna składać się z:
- listy zidentyfikowanych zagrożeń, mogących mieć wpływ na ww. zagadnienia;
- oceny ryzyka dla zidentyfikowanych zagrożeń;
- zidentyfikowania środków zaradczych oraz ponownej oceny ryzyka dla procesów przetwarzania po zastosowaniu środków zaradczych adekwatnych do stwierdzonych zagrożeń;
- analizy DPIA, do której wykorzystamy wyniki wcześniejszej oceny ryzyka przed i po zastosowaniu środków zaradczych;
- oceny ryzyka podmiotu przetwarzającego (jeżeli występuje w projektowanym procesie przetwarzania);
- dodatkowych opinii, np. Inspektora Ochrony Danych w organizacji lub organu nadzorczego, jeżeli organizacja uznała za konieczne zwrócić się przed rozpoczęciem procesu przetwarzania lub w przypadku wysokiego ryzyka przed rozpoczęciem przetwarzania;
- oceny ryzyka całości planowanego działania oraz oceny ryzyka całości planowanego działania z uwzględnieniem środków zaradczych;
- załączniki, stanowiące dokumentację źródeł zagrożeń, środków zaradczych oraz dodatkowych opinii.
Dopiero taki dokument, składający się wymienionych części stanowi ocenę skutków dla przetwarzania, na podstawie której organizacja może rozpocząć proces przetwarzania danych osobowych wiążący się z wysokim stopniem naruszenia praw lub wolności osób, których dane dotyczą.
Zakończenie
Warto pamiętać, że ocena skutków dla ochrony danych (DPIA) jest narzędziem zapewniającym wysoką ochronę danych oraz pozwala na bezpieczne ich przetwarzanie poprzez określenie procesów ich przetwarzania już w fazie projektowania, spełniając wymagania RODO w zakresie zasad privacy by design oraz privacy by default.
Fundacja Entropia przygotowała formularz analizy DPIA wraz z oceną ryzyka dla przetwarzania, który stanowi podstawę dla dokumentacji oceny skutków przetwarzania. Nasi eksperci pomogą zidentyfikować zagrożenia, przygotować adekwatne środki zaradcze oraz dokonać analizy ryzyka. Przygotowujemy pełną dokumentację DPIA, dzięki której organizacja będzie w stanie wywiązać się z obowiązku rozliczalności wobec podmiotów danych oraz organu nadzorczego.
Gdybyśmy mogli w jakiś sposób pomóc, albo gdyby po artykule pozostały jakieś niewyjaśnione kwestie – zachęcamy do kontaktu ze specjalistami Fundacji za pośrednictwem poniższego formularza kontaktowego: