Czym jest DODO?

Najprościej rzecz ujmując DODO to zbiór przepisów dotyczących przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości, które obowiązują w Polsce od dnia 6 lutego 2019 r. Można więc powiedzieć, że DODO to takie RODO tylko, że dla Policji i innych instytucji realizujących w/w zadania. Co warte odnotowania, ustawa DODO to drugi (obok RODO) równorzędny akt prawny, określający zasady i warunki przetwarzania oraz ochrony danych osobowych.

Ale po kolei. Skąd w ogóle pomysł z DODO?

W związku z wyłączeniem, o którym mowa w art. 2 RODO, w myśl którego przepisy RODO nie mają zastosowania do przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom; unijny ustawodawca przyjął Dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar (…). Na podstawie przytoczonej dyrektywy, nazywanej również dyrektywą DODO, Polska – podobnie jak inne kraje unijne musiała wdrożyć przepisy dotyczące przetwarzania danych osobowych w związku z zapobieganiem i zwalczaniem przestępczości.

Efektem tych prac jest właśnie ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych w związku z zapobieganiem i zwalczeniem przestępczości czyli tzw. Ustawa DODO. 

Jednym z głównych założeń ustawy było utrzymanie równowagi pomiędzy prawem osób do prywatności, a koniecznością zachowania poufności w przetwarzaniu danych podczas postępowań prowadzonych m.in. przez: Policję, Straż Graniczną i inne służby w kraju.

Wydaje się, że cel powyższy udało się zrealizować dzięki ograniczeniu możliwości przetwarzania danych osobowych przez Administratora do minimum. Przetwarzanie danych osobowych na gruncie ustawy DODO możliwe jest tylko i wyłącznie, gdy jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązków wynikających z przepisów prawa (art. 13 ustawy DODO). Co więcej, dane osobowe szczególnych kategorii mogą być przetwarzane jedynie, gdy przepis prawa zezwala na takie działanie lub jest to niezbędne dla ochrony życia lub zdrowia lub interesów osoby, której dane dotyczą lub innej osoby, bądź też dane tego typu zostały upublicznione przez osobę, której one dotyczą (art. 14 ustawy DODO).

DODO, a RODO

Jak już wspomnieliśmy zarówno RODO, jak i ustawa DODO, stanowią o niezależnych od siebie podstawach prawnych przetwarzania danych, precyzując jednocześnie zasady i warunki ich przetwarzania. Nie oznacza to jednak, że oba akty nie noszą cech wspólnych. Przykładem są m.in analogiczne definicje wykorzystane w ramach RODO oraz ustawy DODO jak np. dane osobowe, naruszenia ochrony danych osobowych, przetwarzanie danych osobowych oraz jeden organ nadzorczy w zakresie stosowania przepisów tj. Prezes Urzędu Ochrony Danych.

Natomiast podstawową różnicą między RODO, a ustawą DODO jest to, że ustawa obowiązuje tylko niektóre podmioty, które przetwarzają dane. Mowa tu o podmiotach, do których obowiązków ustawowych należą:  rozpoznawanie, zapobieganie, wykrywanie i zwalczanie czynów zabronionych, w tym zagrożeń dla bezpieczeństwa i porządku publicznego, a także wykonywanie tymczasowego aresztowania, kar, kar porządkowych i środków przymusu skutkujących pozbawieniem wolności. (art. 1 pkt 1 Ustawy DODO) tj.: Policja, Straż Graniczna, Straż Miejska, Żandarmeria Wojskowa, Służba Więzienna, Inspekcja Drogowa, Straż Rybacka, przewoźnicy lotniczy oraz podmioty odpowiedzialne za bezpieczeństwo imprez masowych. RODO obowiązuje natomiast powszechnie.

Istotnym jest, że podmioty odpowiedzialne za ściganie i zwalczanie przestępczości, przetwarzające dane w celach określonych w przywołanym art. 1 pkt 1 ustawy DODO, zobowiązane są również do stosowania przepisów RODO w zakresie np. przetwarzania danych pracowników. Oznacza to, że mogą pojawić się sytuacje, w których jeden podmiot zobowiązany będzie do spełnienia równolegle wymagań przewidzianych przepisami ustawy DODO oraz RODO, ale to już zupełnie inna historia..

Artykuł O co chodzi z DODO? pochodzi z serwisu .

W dzisiejszym wpisie skupimy się na omówieniu najistotniejszych kwestii w zakresie spełniania wspomnianego obowiązku przez administratora.

Obowiązek informacyjny – wprowadzenie

Obowiązek informacyjny, jak sama nazwa wskazuje, to nic innego jak podanie osobie, której dane dotyczą, informacji wymaganych przepisami RODO. To właśnie dzięki niemu zainteresowana osoba uzyskuje podstawowe informacje na temat przetwarzania jej danych osobowych. Realizacja tego obowiązku leży po stronie podmiotu przetwarzającego dane osobowe, a odbywa się najczęściej poprzez wręczenie lub wysłanie tak zwanej klauzuli informacyjnej osobie której dane dotyczą po to, aby ta nie musiała samodzielnie poszukiwać informacji opowiadających obowiązkowi informacyjnego pośród innych treści np. w ramach obszernych regulaminów.

Treść obowiązku informacyjnego

Treść obowiązku informacyjnego regulują dwa przepisy – art. 13 oraz art. 14 RODO – w zależności od źródła, z którego administrator pozyskał dane osobowe.

Artykuł 13 RODO znajduje zastosowanie, gdy administrator pozyskuje dane osobowe bezpośrednio od osoby, której dane dotyczą. To znaczy w sytuacji, kiedy osoba samodzielnie przekazuje administratorowi dane osobowe (np. wypełniając formularz internetowy) lub kiedy administrator samodzielnie pozyskuje dane w drodze obserwacji (np. przy zastosowaniu automatycznych rejestratorów, takich jak kamery czy urządzenia sieciowe).

Natomiast art. 14 RODO wymaga uwzględnienia gdy dane zostaną pozyskane nie bezpośrednio od osoby, której one dotyczą a od zewnętrznego administratora danych (np. udostępnienie danych osobowych przez kontrahenta, partnera biznesowego, właściciela bazy danych) lub ze źródeł publicznie dostępnych (np. pozyskanie danych z CEIDG, KRS lub GUS).

Obowiązek informacyjny wobec osób, których dane pozyskano bezpośrednio

Jeżeli dane osobowe pozyskujemy bezpośrednio od osoby, której one dotyczą, prawidłowo sformułowany obowiązek informacyjny, stosownie do art. 13 RODO, powinien zawierać:

1. tożsamość i dane kontaktowe administratora (ewentualnie jego przedstawiciela),
2. dane kontaktowe inspektora ochrony danych (jeżeli został powołany),
3. cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
4. wyjaśnienie prawnie uzasadnionego interesu realizowanego przez administratora lub przez stronę trzecią (jeżeli podstawą przetwarzania danych jest art. 6 ust. 1 lit. f RODO),
5. listę odbiorców danych osobowych lub ich kategorie (jeżeli przetwarzane dane osobowe będą przekazywane np. do podmiotów przetwarzających dane lub innych administratorów danych),
6. informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia;
7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe – kryteria ustalania tego okresu,
8. informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania albo o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
9. informacje o prawie do cofnięcia zgody (jeżeli stanowiła ona podstawę prawną przetwarzania danych),
10. informacje o prawie wniesienia skargi do organu nadzorczego,
11. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym albo warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
12. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, z uwzględnieniem informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Dane osobowe pozyskane od podmiotu trzeciego

Jeżeli podstawą realizacji obowiązku informacyjnego będzie art. 14 RODO, oprócz ww. informacji administrator jest zobowiązany podać:

1. kategorie danych, które przetwarza,
2. źródło pozyskania danych.

Realizacja obowiązku informacyjnego

Ze względu na to jaką wagę dla ochrony danych osobowych, a przez to dla polskiego organu nadzorczego mają omawiane przez nas w dniu dzisiejszym kwestie, czas w jakim winien zostać spełniony obowiązek informacyjny ma istotne znaczenie.

W przypadku, kiedy administrator zamierza pozyskiwać dane osobowe bezpośrednio od osoby fizycznej, powinien zrealizować obowiązek informacyjny uprzednio lub w trakcie pozyskiwania danych. W praktyce będzie się to odnosiło do wręczenia lub umożliwienia osobie, której dane dotyczą, zapoznania się treścią klauzuli informacyjnej. Jako przykłady rozwiązań w tym zakresie wskazujemy umieszczenie klauzuli informacyjnej w treści formularza służącego do pozyskiwania danych osobowych, spełnienie obowiązku informacyjnego na wstępie rozmowy telefonicznej lub przekazanie podstawowych informacji (tzw. skrócona klauzula informacyjna) z jednoczesnym odesłaniem do jej pełnej treści poprzez podany link.

Natomiast w sytuacji gdy dane osobowe administrator pozyskuje nie od osoby, której dane dotyczą, termin realizacji obowiązku informacyjnego jest dłuższy i wynosi maksymalnie 30 dni od momentu pozyskania danych osobowych. Termin ten może ulec skróceniu jeżeli dane są wykorzystywane do komunikacji z osobą, której te dane dotyczą – wówczas obowiązek informacyjny powinien zostać spełniony podczas pierwszego kontaktu z tą osobą oraz kiedy dane mają zostać ujawnione innemu odbiorcy – wówczas administrator powinien zrealizować obowiązek informacyjny najpóźniej przy pierwszym ujawnianiu. Jeżeli zaś chodzi o sposoby realizacji obowiązku informacyjnego w tym przypadku zalecamy przesłanie e-maila lub listu pocztą tradycyjną z klauzulą informacyjną lub odesłaniem do strony WWW, na której znajduje się pełna treść klauzuli; załączenie klauzuli informacyjnej do pierwszej wiadomości e-mailowej lub do listu przesłanego pocztą tradycyjną lub zawarcie na stałe w stopce e-maila klauzuli informacyjnej lub odesłania do jej pełnej treści.

Uwagi na marginesie obowiązku informacyjnego

Dodatkowo należy pamiętać, że wszelkie informacje, które zostały przekazane osobie zainteresowanej listem, mailem, czy za pośrednictwem formularza do pozyskiwania danych powinny być dla niej dostępne niezależnie w innym miejscu lub w ramach innego dokumentu, na wypadek, gdyby ta osoba zechciała zapoznać się ponownie z całością klauzuli informacyjnej (przykładem takich rozwiązań są zakładki „RODO” pojawiające się na stronach internetowych administratorów).

Ogólny wzór klauzuli informacyjnej w najbliższym czasie pojawi się na naszej stronie internetowej.

W razie jakichkolwiek pytań odnośnie obowiązku informacyjnego pozostajemy do Państwa dyspozycji. W celu ułatwienia korespondencji, możecie Państwo skorzystać z poniższego formularza kontaktowego:

Artykuł Obowiązek informacyjny – czyli jak uniknąć kary za brak klauzuli pochodzi z serwisu .

W nawiązaniu do postawionego przez Czytelnika naszego bloga pytania w dniu dzisiejszym pochylimy się nad uprawnieniem administratora do inspekcji podmiotu przetwarzającego.

Niniejszy artykuł stanowi rozwinięcie i uszczegółowienie tematu dotyczącego relacji pomiędzy tymi dwoma podmiotami, wytworzonymi na podstawie łączącej ich umowy powierzenia, o której pisaliśmy już wcześniej.

Prawo do inspekcji podmiotu przetwarzającego

Punktem wyjścia dla naszych rozważań jest treść art. 28. ust. 1 RODO, który nakłada na administratora obowiązek korzystania przy powierzaniu danych wyłącznie z takich podmiotów, które gwarantują wdrożenie odpowiednich środków mających zapewnić zgodność przetwarzania danych z wymogami RODO.

Nowe, zdecydowanie bardziej rygorystyczne, podejście do tematu powierzenia danych osobowych wymaga od administratora, aby decyzja o wyborze kontrahenta była przemyślana i oparta na konkretnych przesłankach. No dobrze, ale jakich?

Tutaj z pomocą przychodzi europejski legislator, który wyposaża administratora w odpowiednie narzędzia. Jak wynika z dalszej lektury wspomnianego art. 28 administratorowi przysługuje po pierwsze: – prawo do uzyskania od podmiotu przetwarzającego wszelkich informacji niezbędnych do ustalenia czy daje on rękojmię przetwarzania danych zgodnie z przepisami RODO, i po drugie: – prawo do audytowania (inspekcji) podmiotu przetwarzającego dane w jego imieniu.

Metody weryfikacji

Nie znajdziemy w Rozporządzeniu przepisu, na podstawie którego administrator mógłby wprost wykazać spełnienie wymogu określonego w art. 28 ust. 1 RODO. Zadaniem administratora jest zatem zaplanowanie działań, które pozwolą na jak najdokładniejszą weryfikację procesora. A najlepiej takich, które w przypadku ewentualnej kontroli ze strony organu nadzorczego uprawdopodobnią, że administrator dokonał wyboru podmiotu przetwarzającego gwarantującego odpowiedni poziom bezpieczeństwa danych osobowych.

Mając na uwadze przyznane administratorowi kompetencje wyróżniamy dwie metody weryfikacji podmiotu przetwarzającego:

1. audyt bezpośredni (realizowany w siedzibie procesora),
2. lista kontrolna (realizowana drogą elektroniczną lub listownie)

W przypadku audytu podmiotu przetwarzającego, przywołanym dowodem może być raport z przeprowadzonych czynności audytowych.
Natomiast w przypadku weryfikacji podmiotu na odległość należy zadbać, aby treść dokumentu stanowiącego dowód z przeprowadzonej weryfikacji (lista kontrolna) była wystarczająco precyzyjna i pozwalała administratorowi na uzyskanie szczegółowych informacji na temat przetwarzania danych osobowych przez procesora. W związku z tym rekomendujemy, aby lista kontrolna zawierała miejsce, w którym podmiot przetwarzający ustosunkuje się do zawartych w dokumencie pytań administratora oraz dokona samooceny według ustalonych kryteriów przyjętych w procedurze weryfikacji podmiotu przetwarzającego (np. zgodność/częściowa zgodność/niezgodność).

Procedura weryfikacji podmiotu przetwarzającego winna również precyzować progi w ramach których administrator dopuszcza współpracę z weryfikowanym podmiotem przetwarzającym, np.:

• spełnienie przyjętych kryteriów na poziomie powyżej 75% – wniosek: podmiot daje gwarancje wdrożenia odpowiednich środków zapewniających zgodność przetwarzania danych z wymogami RODO;
• spełnienie przyjętych kryteriów na poziomie od 51 % do 74% – podmiot przetwarzający powinien wprowadzić stosowane zmiany według wskazań administratora;
• spełnienie przyjętych kryteriów na poziomie poniżej 50 % – podmiot przetwarzający nie daje wystarczającej rękojmi wdrożenia odpowiednich środków zapewniających zgodność przetwarzania danych z wymogami RODO.

Przykładowa lista kontrolna

Poniżej prezentujemy listę z przykładowymi pytaniami, jakie powinna zawierać lista kontrolna:

1. Czy zarządzający podmiotem przetwarzającym powołał Inspektora Ochrony Danych Osobowych lub wyznaczył pracownika do pełnienia zadań związanych z ochroną danych osobowych?
2. Czy osoby biorące udział przy przetwarzaniu danych osobowych posiadają stosowne upoważnienia i zostały zobowiązane do zachowania tych danych tajemnicy?
3. Czy podmiot przetwarzający wdrożył procedury, umożliwiające skuteczne zgłoszenie naruszenia bezpieczeństwa danych osobowych?
4. Czy podmiot przetwarzający stosuje fizyczne zabezpieczenia pomieszczeń/obszarów przetwarzania danych osobowych przed dostępem osób nieuprawnionych?
5. Czy podmiot przetwarzający sporządził kompletną dokumentacje ochrony danych osobowych, a w szczególności czy prowadzi prowadzi rejestr kategorii czynności przetwarzania?
6. Czy podmiot przetwarzający korzysta lub zamierza korzystać z usług podwykonawców ?

Co w przypadku podwykonawców procesora?

Co oczywiste dalsze przekazywanie danych zwiększa ryzyko ich utraty. Do obiegu wchodzi bowiem kolejny podmiot, następuje kolejne powierzenie. Tym samym w przypadku korzystania z usług podwykonawców zwiększa się ryzyko wystąpienia nieprawidłowości w łańcuchu powierzenia danych, który ulega wydłużeniu. Dlatego w praktyce popularnym stało się regulowanie w ramach umowy powierzenia uprawnienia po stronie administratora do przeprowadzenia audytu również u podprocesorów.

Ze swojej strony rekomendujemy aby co najmniej zorientować się, czy umowy podpisywane z podwykonawcami regulują kwestie związane z przetwarzaniem danych administratora.

Powinniśmy być przede wszystkim świadomi, gdzie procesor przekazuje udostępnione mu przez nas dane.

Wynagrodzenie za audyt?

Wróćmy teraz do prawa audytu u procesora i odpowiedzi na postawione przez naszego czytelnika pytanie dotyczące wynagrodzenia. Czy za umożliwienie przeprowadzenia audytu można domagać się wynagrodzenia? W naszej ocenie wprowadzenie do umowy powierzenia żądania stosownej kwoty tytułem opłaty za sam fakt przeprowadzenia sprawdzenia jest uznać należy za niezgodne z RODO. Jak się wydaje takie wynagrodzenie miałoby bowiem na celu nic innego jak „zniechęcenie” administratora do skorzystania z jego uprawnień w zakresie audytowania podmiotu przetwarzającego. Dopuszczamy jednak możliwość ubiegania się o zwrot kosztów poniesionych przez procesora w związku z przeprowadzanym audytem (np. za udział pracowników procesora w czynnościach audytowych).

Termin weryfikacji podmiotu przetwarzającego

Niestety przepisy RODO nie precyzują terminu, w którym administrator ma przeprowadzić weryfikację podmiotu przetwarzającego. Dlatego zdroworozsądkowo przyjąć należy, że sprawdzenie procesora powinno nastąpić w pierwszej kolejności. Czyli przed podpisaniem umowy powierzenia oraz faktycznym przekazaniem danych przez administratora (tzw. audyt otwarcia). Tylko taki audyt da nam pewność, że dane przekazujemy odpowiedzialnemu podmiotowi.

Nic nie stoi jednak na przeszkodzie aby weryfikacji podmiotu przetwarzającego dokonać w czasie realizacji umowy powierzenia. Wręcz przeciwnie – jest to wskazane. Administrator powinien bowiem zawsze posiadać aktualne informacje na temat środków bezpieczeństwa wykorzystywanych przy przetwarzaniu danych osobowych, którego w jego imieniu dokonuje podmiot zewnętrzny. Tylko takie działanie należy uznać za zapewniające spełnienie przez administratora obowiązku wynikającego z art. 28 ust. 1 RODO.

Outsourcing weryfikacji procesora

Na zakończenie należy zwrócić uwagę, że istotnym elementem uprawnienia do audytowania podmiotu przetwarzającego jest to, że nie musi być ono wykonane bezpośrednio przez samego administratora lub jego pracownika. W przypadku, w którym administrator nie czuje się na siłach w aspekcie sprawdzenia podmiotu przetwarzającego lub nie dysponuje wystarczającymi zasobami kadrowymi oraz czasowymi do podjęcia takich działań, może skorzystać z usług wyspecjalizowanego podmiotu zewnętrznego. Z art. 28 ust. 3 lit. h RODO wprost bowiem wynika, że podmiot przetwarzający ma umożliwić audyt administratorowi lub audytorowi upoważnionemu przez administratora.

Podmioty zainteresowane przeprowadzeniem przez nasz Zespół weryfikacji pomiotu przetwarzającego zapraszamy do kontaktu za pośrednictwem poniższego formularza.

Artykuł Czy administrator może kontrolować podmiot przetwarzający? pochodzi z serwisu .

Często używany ostatnio skrót DPIA pochodzi od angielskiego Data Protection Impact Assessment. Jego etymologii należy poszukiwać w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO.

DPIA oznacza ocenę skutków przetwarzania danych osobowych dla ochrony tych danych.

Założenia DPIA z motywów RODO

W przypadku, gdy operacje przetwarzania danych osobowych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka.

Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować, by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z rozporządzeniem.

Jeżeli ocena skutków dla ochrony danych wykaże, że operacje przetwarzania powodują wysokie ryzyko, którego administrator nie może zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed przetwarzaniem należy skonsultować się z organem nadzorczym.

Powyżej przytoczono motyw 84 RODO, który znalazł swoje odzwierciedlenie w Rozdziale IV Sekcja 3 Rozporządzenia – art. 35 Ocena skutków dla ochrony danych i art. 36 Uprzednie konsultacje.

Kiedy należy przeprowadzić DPIA?

Jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych należy, przed rozpoczęciem takiego przetwarzania, dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Obowiązek taki ciąży oczywiście na potencjalnym administratorze przetwarzanych w taki sposób danych i dotyczy wszelkich czynności związanych z danymi osobowymi, tzn. nawet jeżeli zamierzamy je tylko przeglądać lub zbierać.

W drodze delegacji wynikającej z art. 35 pkt. 4 RODO Prezes Urzędu Ochrony Danych Osobowych wydał Komunikat w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (bezpośrednią podstawę prawną dla Komunikatu stanowi art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Zgodnie z zwartym w Komunikacie wykazem operacjami przetwarzania danych osobowych, które bezwzględnie wymagają oceny skutków przetwarzania są m.in.:

1. Profilowanie użytkowników portali społecznościowych w celach wysyłania niezamówionej informacji handlowej (spam);
2. Ocena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji;
3. Optymalizacja składki ubezpieczeniowej;
4. Systemu monitoringu wykorzystywane do zarządzania ruchem (np. odcinkowy pomiar prędkości);
5. Systemy monitorowania czasu pracy pracowników;
6. Gromadzenie i wykorzystywanie danych przez aplikacje mobilne;
7. Dostarczanie mediów w zakresie inteligentnego opomiarowania.

Pełny wykaz dostępny jest na stronie UODO lub bezpośrednio pod adresem http://monitorpolski.gov.pl/MP/2018/827/.

Co powinna zawierać DPIA?

Ocena skutków dla ochrony danych powinna zawierać co najmniej: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę adekwatności operacji przetwarzania w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą oraz środki planowane w celu zaradzenia ryzyku.

Jeżeli ma to zastosowanie, należy uwzględnić prawnie uzasadniony interes realizowany przez administratora, a opisując środki zaradcze należy ująć zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Co więcej w stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą. Jeżeli natomiast ocena skutków dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym.

Jak przeprowadzić DPIA?

Pierwszym etapem oceny skutków jest przeprowadzenie ogólnej oceny ryzyka, z której będzie wynikało, czy proces przetwarzania posiada wysoki stopień prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą i czy, w związku z tym, należy dokonać pogłębionej analizy – oceny skutków dla ochrony danych (DPIA).

Istotnym jest, iż analiza powinna być dokonana przed przystąpieniem do przetwarzania lub przed zmianą procesu przetwarzania danych osobowych (np. zmiana podmiotu przetwarzającego, zastosowanie nowego systemu informatycznego, rozpoczęcie profilowania podmiotów danych itp.).

Przechodząc do analizy oceny skutków przetwarzania należy w pierwszej kolejności odpowiedzieć na pytania o podstawy prawne przetwarzania (umowa, zgoda, prawnie uzasadniony interes – w tym przypadku należy go ponownie uzasadnić), określić cele przetwarzania oraz dokonać weryfikacji, czy dane osobowe są niezbędne do osiągnięcia celów przetwarzania.

Następnie należy ocenić ryzyko związane z miejscem przetwarzania danych osobowych (systemy kontroli dostępu do budynków, miejsca hostingu itd.) oraz dokonać analizy, czy istnieją mechanizmy zapewniające prawidłowość przetwarzanych danych.

Następnie analizujemy, czy przechowywanie danych zostało zaprojektowane na czas wyłącznie niezbędny do osiągnięcia celów przetwarzania, czy może istnieją wyjątkowe okoliczności, w których pewne dane przechowywane są ponad zwyczajowe okresy oraz w jaki sposób zapewnione jest usuwanie danych po okresie przetwarzania. Analiza powinna również uwzględnić procedury przetwarzania, czy w trakcie procesu dojdzie do profilowania, jakie będą sposoby realizacji praw podmiotów danych oraz czy będzie dokonywany transfer danych poza obszar EOG.

Jeżeli proces przetwarzania zakłada wykorzystanie pomiotu przetwarzającego należy ocenić ryzyko przetwarzania przez ten podmiot wraz z oceną ryzyka związanego z transferem danych do procesora (szyfrowanie danych, czy istnieje możliwość wycieku danych w trakcie przesyłu).

Opis planowanych operacji i celów przetwarzania powinien być udokumentowany w celu zapewnienia rozliczalności przetwarzania. Brak odpowiedniej dokumentacji również stanowi ryzyko naruszenia praw i wolności osób, których dane dotyczą.

O czym należy pamiętać przeprowadzając DPIA?

Identyfikując zagrożenia i ich potencjalne skutki dla prywatności (ochrony podmiotów danych) należy uwzględnić m.in. brak podstawy przetwarzania lub przetwarzanie niezgodne z pierwotnym celem, przetwarzanie niekompletnych danych, ich nieuzasadnione użycie lub ujawnienie. Zbyt szeroki zakres przetwarzania danych (niezgodność z zasadą minimalizacji), przechowywanie danych po wygaśnięciu celu przetwarzania oraz ujawnienie danych nieuprawnionym podmiotom.

Oceniając ryzyko stosujemy macierz poziomu ryzyka oraz działania względem jego poziomu. Dokonując analizy oceny skutków przetwarzania należy ocenić ryzyko przed i po uwzględnieniu środków zaradczych.

Co powinna zawierać dokumentacja DPIA?

Dokumentacja DPIA (oceny skutków dla przetwarzania) powinna składać się z:

1. listy zidentyfikowanych zagrożeń, mogących mieć wpływ na ww. zagadnienia;
2. oceny ryzyka dla zidentyfikowanych zagrożeń;
3. zidentyfikowania środków zaradczych oraz ponownej oceny ryzyka dla procesów przetwarzania po zastosowaniu środków zaradczych adekwatnych do stwierdzonych zagrożeń;
4. analizy DPIA, do której wykorzystamy wyniki wcześniejszej oceny ryzyka przed i po zastosowaniu środków zaradczych;
5. oceny ryzyka podmiotu przetwarzającego (jeżeli występuje w projektowanym procesie przetwarzania);
6. dodatkowych opinii, np. Inspektora Ochrony Danych w organizacji lub organu nadzorczego, jeżeli organizacja uznała za konieczne zwrócić się przed rozpoczęciem procesu przetwarzania lub w przypadku wysokiego ryzyka przed rozpoczęciem przetwarzania;
7. oceny ryzyka całości planowanego działania oraz oceny ryzyka całości planowanego działania z uwzględnieniem środków zaradczych;
8. załączniki, stanowiące dokumentację źródeł zagrożeń, środków zaradczych oraz dodatkowych opinii.

Dopiero taki dokument, składający się wymienionych części stanowi ocenę skutków dla przetwarzania, na podstawie której organizacja może rozpocząć proces przetwarzania danych osobowych wiążący się z wysokim stopniem naruszenia praw lub wolności osób, których dane dotyczą.

Zakończenie

Warto pamiętać, że ocena skutków dla ochrony danych (DPIA) jest narzędziem zapewniającym wysoką ochronę danych oraz pozwala na bezpieczne ich przetwarzanie poprzez określenie procesów ich przetwarzania już w fazie projektowania, spełniając wymagania RODO w zakresie zasad privacy by design oraz privacy by default.

Fundacja Entropia przygotowała formularz analizy DPIA wraz z oceną ryzyka dla przetwarzania, który stanowi podstawę dla dokumentacji oceny skutków przetwarzania. Nasi eksperci pomogą zidentyfikować zagrożenia, przygotować adekwatne środki zaradcze oraz dokonać analizy ryzyka. Przygotowujemy pełną dokumentację DPIA, dzięki której organizacja będzie w stanie wywiązać się z obowiązku rozliczalności wobec podmiotów danych oraz organu nadzorczego.

Gdybyśmy mogli w jakiś sposób pomóc, albo gdyby po artykule pozostały jakieś niewyjaśnione kwestie – zachęcamy do kontaktu ze specjalistami Fundacji za pośrednictwem poniższego formularza kontaktowego:

Artykuł Co to jest DPIA? pochodzi z serwisu .

Jedną z kluczowych koncepcji Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej: RODO] jest podejście oparte na ryzyku naruszenia praw lub wolności osób. Ryzyku, które z różnym prawdopodobieństwem i wagą zagrożeń, może prowadzić do uszczerbku fizycznego albo do szkód majątkowych lub niemajątkowych.

W szczególności przetwarzanie danych osobowych może skutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości. Skutkiem tych naruszeń może być m.in. strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową. Może to być również wszelka inna znaczna szkoda, zarówno gospodarcza jak i społeczna. Naruszenie danych osobowych może prowadzić też do sytuacji, w której.osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi.

Stąd tak ważna jest w ochronie danych osobowych ocena ryzyka.

Szacowanie ryzyka

W związku z tym jeden z motywów RODO mówi, iż w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z zapisami Rozporządzenia administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki minimalizujące to ryzyko.

Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. RODO nie narzuca więc określonych środków ani procedur w zakresie ochrony, pozostawiając ich wybór administratorom i podmiotom przetwarzającym. Oceniając ryzyko w zakresie bezpieczeństwa danych, administrator lub podmiot przetwarzający powinien wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych. Chodzi m.in. o przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Takie rozwiązanie, poparte analizą i weryfikacją zagrożeń oraz oceną ich wagi, umożliwia koncentrację środków (w tym organizacyjnych, finansowych itd.) na czynnościach przetwarzania związanych z najwyższym ryzykiem. Powoduje to, że ocena ryzyka naruszenia danych osobowych nabiera szczególnego znaczenia w działalności przedsiębiorstwa.

Właściwa ocena ryzyka i stosowanie adekwatnych środków ochrony

Dość intuicyjnie można stwierdzić, iż inne środki ochrony będziemy stosowali w przypadku posiadania bazy danych klientów sklepu internetowego, zawierającej historię zakupów, adresów oraz przelewów, a inne – w przypadku prowadzenia niewielkiej działalności usługowej w postaci punktu stacjonarnego, gdzie większość danych znajduje się w szafie w formie papierowej. Podsumowując, należy stwierdzić, iż podejście oparte na ryzyku zobowiązuje do dostosowania środków ochrony przetwarzania danych osobowych do skali ryzyka.

Podejście oparte na ryzyku zapewnia identyfikację, ocenę oraz odpowiednie postępowanie z zagrożeniami podczas wszystkich etapów przetwarzania danych osobowych. Skutkiem prawidłowego zarządzania zidentyfikowanymi zagrożeniami powinno być prawidłowe zabezpieczenie przetwarzania danych osobowych poprzez zapewnienie adekwatnych środków bezpieczeństwa. Środki te powinny uwzględniać zarówno zdefiniowane ryzyko naruszenia praw i wolności osób, których dane dotyczą. Ważne są też możliwości organizacyjne oraz koszty ich wdrożenia w danej organizacji.

Ocena ryzyka – jak przeprowadzić ją prawidłowo?

Przedmiotem analizy ryzyka z jednej strony są aktywa jakimi dysponuje organizacja (budynki, pomieszczenia, ich dostępność dla osób trzecich, serwery itd.), a z drugiej czynności przetwarzania (operacje na danych osobowych).

Oceniając zasoby należy uwzględnić możliwe zagrożenia oraz podatność, czyli słabe punkty mogące powodować naruszenia bezpieczeństwa (słabe punkty).

Korelację pomiędzy zagrożeniem a podatnością prezentuje poniższy przykład:

Prawdopodobieństwo i wielkość ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określać przez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej i rzeczowej analizy, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.

Brak jednego prawidłowego wzoru postępowania

Nie ma jednej, określonej przepisami, metody szacowania ryzyka, w związku z tym możemy je oceniać na sposób ilościowy i jakościowy. Najprostszą metodą szacowania ryzyka w ogóle, stosowaną również w m.in. w ocenie ryzyka zawodowego, jak również bezpieczeństwa infrastruktury jest określenie wpływu danego zagrożenia poprzez odzwierciedlenie relacji między prawdopodobieństwem danego zdarzenia a skutkami, jakie może wywołać dla ochrony danych.

Jest to oczywiście tylko przykładowy sposób określania ryzyka naruszenia ochrony danych. Równie często stosowana jest skala pięciostopniowa, bądź ocena biorąca pod uwagę więcej czynników mających wpływ na wynik.

W praktyce dokument zawierający przeprowadzoną analizę ryzyka powinien zawierać:

• opis przyjętej metody analizy ryzyka, w szczególności skalę ryzyka i matrycę jego oceny;
• kryteria akceptacji ryzyka;
• źródła danych i uzyskanych podczas identyfikacji zagrożeń informacji;
• analizę ryzyka;
• zalecenia i wnioski z przeprowadzonej analizy.

Określając ryzyko naruszenia ochrony danych musimy również brać pod uwagę sposób postępowania ze zdiagnozowanym wpływem zagrożeń na proces przetwarzania.

Przykład oceny ryzyka naruszenia ochrony danych:

Taka ocena ryzyka skutkuje koniecznością podjęcia działań zapobiegawczych w stosunku do wszystkich czynności przetwarzania. Ryzyko ocenione jako duże wymaga podjęcia działań niezwłocznie, jest to również podstawa do wdrożenia rozwiązań wymagających wysokich nakładów finansowych. Ryzyko ocenione jako średnie również wymaga wdrożenia przynajmniej podstawowych działań zapobiegawczych, jednakże.mogą to być działania wprowadzane stopniowo, w miarę możliwości organizacyjnych i ekonomicznych organizacji. Ryzyko to jest akceptowalne, jeżeli środki zapobiegawcze okazałyby się wysoce kosztowne, przekraczające możliwości finansowe organizacji.

Artykuł 24 RODO nakłada obowiązek wdrożenia środków technicznych i organizacyjnych w zakresie ochrony danych, które będą uwzględniały.wszystkie czynniki mające wpływ na bezpieczeństwo przetwarzanych danych, a więc ich charakter, zakres, kontekst i cele przetwarzania jak również ryzyko naruszenia praw i wolności osób, których dane są przetwarzane. Środki te powinny uwzględniać różne prawdopodobieństwo i wagę każdego zidentyfikowanego zagrożenia, aby przetwarzanie odbywało się zgodnie z przepisami.

Konsekwencje jakie niesie ze sobą ocena ryzyka

Ryzyko możemy albo zaakceptować, jeżeli zostało ocenione jako małe lub niskie. Możemy ubezpieczyć się od skutków wywołanych materializacją ryzyka lub delegować ryzyko poprzez np. przekazanie niektórych realizowanych procesów podmiotom zewnętrznym (outsourcing), dbając oczywiście o odpowiednie zapisy w umowach dotyczących mitygacji skutków naruszenia ochrony danych. Kolejnym sposobem radzenia sobie z ryzykiem jest jego redukcja. Zredukować możemy słabe punkty naszych zasobów (zmniejszenie podatności), co będzie skutkowało mniejszym prawdopodobieństwem wystąpienia danego zdarzenia lub, co zdecydowanie trudniejsze, poprzez ograniczenie lub zupełną eliminację czynności mogących skutkować naruszeniem bezpieczeństwa przetwarzania danych.

Przepisy RODO nie wskazują wymaganych w konkretnym przypadku środków czy rozwiązań, które należy zastosować w celu minimalizacji ryzyka naruszenia ochrony praw i wolności osób, których dane są przetwarzane. Dlatego też należycie przeprowadzona ocena ryzyka jest tak istotna z punktu widzenia prowadzonej działalności gospodarczej. Tylko bowiem właściwa analiza zagrożeń pozwoli podjąć odpowiednie kroki, aby im zapobiec.

Ocena skutków dla ochrony danych (DPIA)

Gdy operacje przetwarzania danych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek oceny skutków dla ochrony danych (DPIA – Data Protection Impact Assessment). Ma to na celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka. Wyniki tej analizy należy oczywiście uwzględnić przy określaniu środków stosowanych.dla zabezpieczenia procesu przetwarzania danych by móc wykazać, że przetwarzanie odbywa się zgodnie z RODO. W praktyce analiza ryzyka wszystkich czynności przetwarzania danych w organizacji wskazuje nam, które czynności wiążą się z wysokim (dużym) ryzykiem naruszenia praw lub wolności osób fizycznych. Dla takich czynności właśnie należy przeprowadzić pogłębioną analizę ryzyka, czyli określoną w artykule 35 RODO ocenę skutków dla ochrony danych.

O istotności oceny ryzyka i następującej po niej oceny skutków przekonywała Prezes Urzędu Ochrony Danych, dr Edyta Bielak-Jomaa.

Należy przy tym zaznaczyć, że analizę taką należy przeprowadzić przed wdrożeniem RODO w swoim przedsiębiorstwie, ale zalecane jest również częstsze prowadzenie tego typu działań celem stałego monitorowania poziomu zabezpieczeń. Pomagamy w tym naszym Klientom świadcząc dla Nich m.in. usługę wsparcia Inspektora Ochrony Danych.

Artykuł Ocena ryzyka przetwarzania danych pochodzi z serwisu .