Często używany ostatnio skrót DPIA pochodzi od angielskiego Data Protection Impact Assessment. Jego etymologii należy poszukiwać w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO.

DPIA oznacza ocenę skutków przetwarzania danych osobowych dla ochrony tych danych.

Założenia DPIA z motywów RODO

W przypadku, gdy operacje przetwarzania danych osobowych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka.

Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z rozporządzeniem.

Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy skonsultować się z organem nadzorczym.

Powyżej przytoczono motyw 84 RODO, który znalazł swoje odzwierciedlenie w Rozdziale IV Sekcja 3 Rozporządzenia – art. 35 Ocena skutków dla ochrony danych i art. 36 Uprzednie konsultacje.

Kiedy należy przeprowadzić DPIA?

Jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych należy, przed rozpoczęciem takiego przetwarzania, dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Obowiązek taki ciąży oczywiście na potencjalnym administratorze przetwarzanych w taki sposób danych i dotyczy wszelkich czynności związanych z danymi osobowymi, tzn. nawet jeżeli zamierzamy je tylko przeglądać lub zbierać.

W drodze delegacji wynikającej z art. 35 pkt. 4 RODO Prezes Urzędu Ochrony Danych Osobowych wydał Komunikat w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (bezpośrednią podstawę prawną dla Komunikatu stanowi art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Zgodnie z zwartym w Komunikacie wykazem operacjami przetwarzania danych osobowych, które bezwzględnie wymagają oceny skutków przetwarzania są m.in.:

1. Profilowanie użytkowników portali społecznościowych w celach wysyłania niezamówionej informacji handlowej (spam);
2. Ocena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji;
3. Optymalizacja składki ubezpieczeniowej;
4. Systemu monitoringu wykorzystywane do zarządzania ruchem (np. odcinkowy pomiar prędkości);
5. Systemy monitorowania czasu pracy pracowników;
6. Gromadzenie i wykorzystywanie danych przez aplikacje mobilne;
7. Dostarczanie mediów w zakresie inteligentnego opomiarowania.

Pełny wykaz dostępny jest na stronie UODO lub bezpośrednio pod adresem http://monitorpolski.gov.pl/MP/2018/827/.

Co powinna zawierać DPIA?

Ocena skutków dla ochrony danych powinna zawierać co najmniej: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę adekwatności operacji przetwarzania w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz środki planowane w celu zaradzenia ryzyku.

Jeżeli ma to zastosowanie, należy uwzględnić prawnie uzasadniony interes realizowany przez administratora, a opisując środki zaradcze należy ująć zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Co więcej w stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą. Jeżeli natomiast ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

Jak przeprowadzić DPIA?

Pierwszym etapem oceny skutków jest przeprowadzenie ogólnej oceny ryzyka, z której będzie wynikało, czy proces przetwarzania posiada wysoki stopień prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą i czy, w związku z tym, należy dokonać pogłębionej analizy – oceny skutków dla ochrony danych (DPIA).

Istotnym jest, iż analiza powinna być dokonana przed przystąpieniem do przetwarzania lub przed zmianą procesu przetwarzania danych osobowych (np. zmiana podmiotu przetwarzającego, zastosowanie nowego systemu informatycznego, rozpoczęcie profilowania podmiotów danych itp.).

Przechodząc do analizy oceny skutków przetwarzania należy w pierwszej kolejności odpowiedzieć na pytania o podstawy prawne przetwarzania (umowa, zgoda, prawnie uzasadniony interes – w tym przypadku należy go ponownie uzasadnić), określić cele przetwarzania oraz dokonać weryfikacji, czy dane osobowe są niezbędne do osiągnięcia celów przetwarzania.

Następnie należy ocenić ryzyko związane z miejscem przetwarzania danych osobowych (systemy kontroli dostępu do budynków, miejsca hostingu itd.) oraz dokonać analizy, czy istnieją mechanizmy zapewniające prawidłowość przetwarzanych danych.

Następnie analizujemy, czy przechowywanie danych zostało zaprojektowane na czas wyłącznie niezbędny do osiągnięcia celów przetwarzania, czy może istnieją wyjątkowe okoliczności, w których pewne dane przechowywane są ponad zwyczajowe okresy oraz w jaki sposób zapewnione jest usuwanie danych po okresie przetwarzania. Analiza powinna również uwzględnić procedury przetwarzania, czy w trakcie procesu dojdzie do profilowania, jakie będą sposoby realizacji praw podmiotów danych oraz czy będzie dokonywany transfer danych poza obszar EOG.

Jeżeli proces przetwarzania zakłada wykorzystanie pomiotu przetwarzającego należy ocenić ryzyko przetwarzania przez ten podmiot wraz z oceną ryzyka związanego z transferem danych do procesora (szyfrowanie danych, czy istnieje możliwość wycieku danych w trakcie przesyłu).

Opis planowanych operacji i celów przetwarzania powinien być udokumentowany w celu zapewnienia rozliczalności przetwarzania. Brak odpowiedniej dokumentacji również stanowi ryzyko naruszenia praw i wolności osób, których dane dotyczą.

O czym należy pamiętać przeprowadzając DPIA?

Identyfikując zagrożenia i ich potencjalne skutki dla prywatności (ochrony podmiotów danych) należy uwzględnić m.in. brak podstawy przetwarzania lub przetwarzanie niezgodne z pierwotnym celem, przetwarzanie niekompletnych danych, ich nieuzasadnione użycie lub ujawnienie. Zbyt szeroki zakres przetwarzania danych (niezgodność z zasadą minimalizacji), przechowywanie danych po wygaśnięciu celu przetwarzania oraz ujawnienie danych nieuprawnionym podmiotom.

Oceniając ryzyko stosujemy macierz poziomu ryzyka oraz działania względem jego poziomu. Dokonując analizy oceny skutków przetwarzania należy ocenić ryzyko przed i po uwzględnieniu środków zaradczych.

Co powinna zawierać dokumentacja DPIA?

Dokumentacja DPIA (oceny skutków dla przetwarzania) powinna składać się z:

1. listy zidentyfikowanych zagrożeń, mogących mieć wpływ na ww. zagadnienia;
2. oceny ryzyka dla zidentyfikowanych zagrożeń;
3. zidentyfikowania środków zaradczych oraz ponownej oceny ryzyka dla procesów przetwarzania po zastosowaniu środków zaradczych adekwatnych do stwierdzonych zagrożeń;
4. analizy DPIA, do której wykorzystamy wyniki wcześniejszej oceny ryzyka przed i po zastosowaniu środków zaradczych;
5. oceny ryzyka podmiotu przetwarzającego (jeżeli występuje w projektowanym procesie przetwarzania);
6. dodatkowych opinii, np. Inspektora Ochrony Danych w organizacji lub organu nadzorczego, jeżeli organizacja uznała za konieczne zwrócić się przed rozpoczęciem procesu przetwarzania lub w przypadku wysokiego ryzyka przed rozpoczęciem przetwarzania;
7. oceny ryzyka całości planowanego działania oraz oceny ryzyka całości planowanego działania z uwzględnieniem środków zaradczych;
8. załączniki, stanowiące dokumentację źródeł zagrożeń, środków zaradczych oraz dodatkowych opinii.

Dopiero taki dokument, składający się wymienionych części stanowi ocenę skutków dla przetwarzania, na podstawie której organizacja może rozpocząć proces przetwarzania danych osobowych wiążący się z wysokim stopniem naruszenia praw lub wolności osób, których dane dotyczą.

Zakończenie

Warto pamiętać, że ocena skutków dla ochrony danych (DPIA) jest narzędziem zapewniającym wysoką ochronę danych oraz pozwala na bezpieczne ich przetwarzanie poprzez określenie procesów ich przetwarzania już w fazie projektowania, spełniając wymagania RODO w zakresie zasad privacy by design oraz privacy by default.

Fundacja Entropia przygotowała formularz analizy DPIA wraz z oceną ryzyka dla przetwarzania, który stanowi podstawę dla dokumentacji oceny skutków przetwarzania. Nasi eksperci pomogą zidentyfikować zagrożenia, przygotować adekwatne środki zaradcze oraz dokonać analizy ryzyka. Przygotowujemy pełną dokumentację DPIA, dzięki której organizacja będzie w stanie wywiązać się z obowiązku rozliczalności wobec podmiotów danych oraz organu nadzorczego.

Gdybyśmy mogli w jakiś sposób pomóc, albo gdyby po artykule pozostały jakieś niewyjaśnione kwestie – zachęcamy do kontaktu ze specjalistami Fundacji za pośrednictwem poniższego formularza kontaktowego:

Artykuł Co to jest DPIA? pochodzi z serwisu .

Jedną z kluczowych koncepcji Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej: RODO] jest podejście oparte na ryzyku naruszenia praw lub wolności osób. Ryzyku, które z różnym prawdopodobieństwem i wagą zagrożeń, może prowadzić do uszczerbku fizycznego albo do szkód majątkowych lub niemajątkowych.

W szczególności przetwarzanie danych osobowych może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości. Skutkiem tych naruszeń może być m.in. strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Może to być również wszelka inna znaczna szkoda, zarówno gospodarcza jak i społeczna. Naruszenie danych osobowych może prowadzić też do sytuacji, w której.osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Stąd tak ważna jest w ochronie danych osobowych ocena ryzyka.

Szacowanie ryzyka

W związku z tym jeden z motywów RODO mówi, iż w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z zapisami Rozporządzenia administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki minimalizujące to ryzyko.

Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. RODO nie narzuca więc określonych środków ani procedur w zakresie ochrony, pozostawiając ich wybór administratorom i podmiotom przetwarzającym. Oceniając ryzyko w zakresie bezpieczeństwa danych, administrator lub podmiot przetwarzający powinien wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych. Chodzi m.in. o przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Takie rozwiązanie, poparte analizą i weryfikacją zagrożeń oraz oceną ich wagi, umożliwia koncentrację środków (w tym organizacyjnych, finansowych itd.) na czynnościach przetwarzania związanych z najwyższym ryzykiem. Powoduje to, że ocena ryzyka naruszenia danych osobowych nabiera szczególnego znaczenia w działalności przedsiębiorstwa.

Właściwa ocena ryzyka i stosowanie adekwatnych środków ochrony

Dość intuicyjnie można stwierdzić, iż inne środki ochrony będziemy stosowali w przypadku posiadania bazy danych klientów sklepu internetowego, zawierającej historię zakupów, adresów oraz przelewów, a inne – w przypadku prowadzenia niewielkiej działalności usługowej w postaci punktu stacjonarnego, gdzie większość danych znajduje się w szafie w formie papierowej. Podsumowując, należy stwierdzić, iż podejście oparte na ryzyku zobowiązuje do dostosowania środków ochrony przetwarzania danych osobowych do skali ryzyka.

Podejście oparte na ryzyku zapewnia identyfikację, ocenę oraz odpowiednie postępowanie z zagrożeniami podczas wszystkich etapów przetwarzania danych osobowych. Skutkiem prawidłowego zarządzania zidentyfikowanymi zagrożeniami powinno być prawidłowe zabezpieczenie przetwarzania danych osobowych poprzez zapewnienie adekwatnych środków bezpieczeństwa. Środki te powinny uwzględniać zarówno zdefiniowane ryzyko naruszenia praw i wolności osób, których dane dotyczą. Ważne są też możliwości organizacyjne oraz koszty ich wdrożenia w danej organizacji.

Ocena ryzyka – jak przeprowadzić ją prawidłowo?

Przedmiotem analizy ryzyka z jednej strony są aktywa jakimi dysponuje organizacja (budynki, pomieszczenia, ich dostępność dla osób trzecich, serwery itd.), a z drugiej czynności przetwarzania (operacje na danych osobowych).

Oceniając zasoby należy uwzględnić możliwe zagrożenia oraz podatność, czyli słabe punkty mogące powodować naruszenia bezpieczeństwa (słabe punkty).

Korelację pomiędzy zagrożeniem a podatnością prezentuje poniższy przykład:

Prawdopodobieństwo i wielkość ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określać przez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej i rzeczowej analizy, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Brak jednego prawidłowego wzoru postępowania

Nie ma jednej, określonej przepisami, metody szacowania ryzyka, w związku z tym możemy je oceniać na sposób ilościowy i jakościowy. Najprostszą metodą szacowania ryzyka w ogóle, stosowaną również w m.in. w ocenie ryzyka zawodowego, jak również bezpieczeństwa infrastruktury jest określenie wpływu danego zagrożenia poprzez odzwierciedlenie relacji między prawdopodobieństwem danego zdarzenia a skutkami, jakie może wywołać dla ochrony danych.

Jest to oczywiście tylko przykładowy sposób określania ryzyka naruszenia ochrony danych. Równie często stosowana jest skala pięciostopniowa, bądź ocena biorąca pod uwagę więcej czynników mających wpływ na wynik.

W praktyce dokument zawierający przeprowadzoną analizę ryzyka powinien zawierać:

• opis przyjętej metody analizy ryzyka, w szczególności skalę ryzyka i matrycę jego oceny;
• kryteria akceptacji ryzyka;
• źródła danych i uzyskanych podczas identyfikacji zagrożeń informacji;
• analizę ryzyka;
• zalecenia i wnioski z przeprowadzonej analizy.

Określając ryzyko naruszenia ochrony danych musimy również brać pod uwagę sposób postępowania ze zdiagnozowanym wpływem zagrożeń na proces przetwarzania.

Przykład oceny ryzyka naruszenia ochrony danych:

Taka ocena ryzyka skutkuje koniecznością podjęcia działań zapobiegawczych w stosunku do wszystkich czynności przetwarzania. Ryzyko ocenione jako duże wymaga podjęcia działań niezwłocznie, jest to również podstawa do wdrożenia rozwiązań wymagających wysokich nakładów finansowych. Ryzyko ocenione jako średnie również wymaga wdrożenia przynajmniej podstawowych działań zapobiegawczych, jednakże.mogą to być działania wprowadzane stopniowo, w miarę możliwości organizacyjnych i ekonomicznych organizacji. Ryzyko to jest akceptowalne, jeżeli środki zapobiegawcze okazałyby się wysoce kosztowne, przekraczające możliwości finansowe organizacji.

Artykuł 24 RODO nakłada obowiązek wdrożenia środków technicznych i organizacyjnych w zakresie ochrony danych, które będą uwzględniały.wszystkie czynniki mające wpływ na bezpieczeństwo przetwarzanych danych, a więc ich charakter, zakres, kontekst i cele przetwarzania jak również ryzyko naruszenia praw i wolności osób, których dane są przetwarzane. Środki te powinny uwzględniać różne prawdopodobieństwo i wagę każdego zidentyfikowanego zagrożenia, aby przetwarzanie odbywało się zgodnie z przepisami.

Konsekwencje jakie niesie ze sobą ocena ryzyka

Ryzyko możemy albo zaakceptować, jeżeli zostało ocenione jako małe lub niskie. Możemy ubezpieczyć się od skutków wywołanych materializacją ryzyka lub delegować ryzyko poprzez np. przekazanie niektórych realizowanych procesów podmiotom zewnętrznym (outsourcing), dbając oczywiście o odpowiednie zapisy w umowach dotyczących mitygacji skutków naruszenia ochrony danych. Kolejnym sposobem radzenia sobie z ryzykiem jest jego redukcja. Zredukować możemy słabe punkty naszych zasobów (zmniejszenie podatności), co będzie skutkowało mniejszym prawdopodobieństwem wystąpienia danego zdarzenia lub, co zdecydowanie trudniejsze, poprzez ograniczenie lub zupełną eliminację czynności mogących skutkować naruszeniem bezpieczeństwa przetwarzania danych.

Przepisy RODO nie wskazują wymaganych w konkretnym przypadku środków czy rozwiązań, które należy zastosować w celu minimalizacji ryzyka naruszenia ochrony praw i wolności osób, których dane są przetwarzane. Dlatego też należycie przeprowadzona ocena ryzyka jest tak istotna z punktu widzenia prowadzonej działalności gospodarczej. Tylko bowiem właściwa analiza zagrożeń pozwoli podjąć odpowiednie kroki, aby im zapobiec.

Ocena skutków dla ochrony danych (DPIA)

Gdy operacje przetwarzania danych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek oceny skutków dla ochrony danych (DPIA – Data Protection Impact Assessment). Ma to na celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki tej analizy należy oczywiście uwzględnić przy określaniu środków stosowanych.dla zabezpieczenia procesu przetwarzania danych by móc wykazać, że przetwarzanie odbywa się zgodnie z RODO. W praktyce analiza ryzyka wszystkich czynności przetwarzania danych w organizacji wskazuje nam, które czynności wiążą się z wysokim (dużym) ryzykiem naruszenia praw lub wolności osób fizycznych. Dla takich czynności właśnie należy przeprowadzić pogłębioną analizę ryzyka, czyli określoną w artykule 35 RODO ocenę skutków dla ochrony danych.

O istotności oceny ryzyka i następującej po niej oceny skutków przekonywała Prezes Urzędu Ochrony Danych, dr Edyta Bielak-Jomaa.

Należy przy tym zaznaczyć, że analizę taką należy przeprowadzić przed wdrożeniem RODO w swoim przedsiębiorstwie, ale zalecane jest również częstsze prowadzenie tego typu działań celem stałego monitorowania poziomu zabezpieczeń. Pomagamy w tym naszym Klientom świadcząc dla Nich m.in. usługę wsparcia Inspektora Ochrony Danych.

Artykuł Ocena ryzyka przetwarzania danych pochodzi z serwisu .