Stwierdziłem, że warto poruszyć na blogu trudną tematykę związaną z przygotowywaniem dokumentu nazwanego w RODO oceną skutków dla ochrony danych (Data Protection Impact Assessment – DPIA). Ten wpis będzie trochę dłuższy niż pozostałe. Uznałem, że najlepiej będzie jak podejdę do sprawy kompleksowo i napiszę o tym kiedy należy przeprowadzić taką ocenę skutków, kto musi ją zrobić oraz to co powinno się w niej znaleźć, tak abyście mieli całą wiedzę w pigułce.
Czym jest ocena skutków dla ochrony danych?
Jak być może słyszeliście, RODO miało zerwać z koniecznością tworzenia „sztywnej” dokumentacji, której treść i zakres wskazany może być w przepisach. Dlatego nie mamy już jednoznacznego wymogu tworzenia polityki bezpieczeństwa (chociaż RODO zaleca, aby taką politykę mieć i ja również uważam, że warto ją stworzyć) czy instrukcji zarządzania systemem informatycznym. Od tej dowolności jest jednak kilka wyjątków - np. konieczność stworzenia rejestru czynności przetwarzania czy też właśnie oceny skutków dla ochrony danych. Innymi słowy, są takie sytuacje gdy stworzenie takiej oceny skutków dla ochrony danych jest wymagane.
Kiedy należy stworzyć ocenę skutków dla ochrony danych?
Ocenę skutków dla ochrony danych musimy stworzyć gdy dany rodzaj przetwarzania danych ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zwracam tutaj uwagę, że w szczególności dotyczy to przetwarzania danych z użyciem nowych technologii.
Tak mówi przepis art. 35 ust. 1 RODO.
Jak więc ustalić, czy musimy taką ocenę przeprowadzić? Musimy wziąć pod uwagę to:
jakie dane przetwarzamy, w szczególności czy są to dane szczególnej kategorii, np. dotyczące zdrowia, orientacji seksualnej, poglądów politycznych, wyznawanej religii czy też dane biometryczne,
ilu osób dotyczą przetwarzane przez nas dane – im więcej, tym większe prawdopodobieństwo, że musimy przeprowadzić ocenę skutków. Pamiętajmy o tym, że musimy wziąć pod uwagę ilość osób w stosunku do obszaru, z którego te osoby pochodzą – jeżeli więc przetwarzamy dane 80% mieszkańców małej gminy, to i tak może zostać to uznane za przetwarzanie na dużą skalę.
co z nimi robimy (czyli na czym polegają realizowane przez nas operacje przetwarzania) i po co to robimy (jakie realizujemy cele) – tutaj musimy wziąć pod uwagę w szczególności przetwarzanie danych z użyciem nowych technologii. Założenie RODO jest takie, że jeżeli korzystamy z usług chmurowych albo wykorzystujemy algorytmy do analizy danych, ryzyko jest większe.
Brzmi dość ogólnie? Na szczęście, samo RODO wskazuje nam na kilka przykładów, kiedy musimy przeprowadzić ocenę skutków dla ochrony danych. I tak, musimy przeprowadzić taką ocenę gdy nasze przetwarzanie danych polega na:
1. Systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną – robi to np. bank, który za pomocą automatycznych algorytmów bierze pod uwagę szereg informacji dotyczących potencjalnego klienta i na tej podstawie przygotowuje dla niego ofertę kredytową lub odmawia udzielenia kredytu (bo algorytm uznaje, że ryzyko jest zbyt duże).
Pamiętajmy, że ocena musi być kompleksowa (brać pod uwagę cały szereg czynników) i systematyczna (przeprowadzana ciągle albo w jakichś z góry ustalonych okresach), a ponadto musi wiązać się z wywoływaniem skutków prawnych (np. podjęciem decyzji czy zawrzemy jakąś umowę) albo wpływaniem na osobę w inny sposób. Dlatego uważam, że wyświetlanie spersonalizowanych reklam w Internecie, biorąc pod uwagę to na jakie strony weszli wcześniej użytkownicy, nie stanowi jeszcze kompleksowej oceny czynników osobowych i nie wywołuje skutków prawnych wobec osoby – acz zastrzegam, że spotkałem się również z innym podejściem do tej kwestii (podkreślam jednocześnie, że jeżeli jesteśmy portalem społecznościowym, który analizuje wszystkie dane użytkowników w celu przygotowania kompleksowego profilu takiej osoby pod kątem marketingu – wtedy już sporu nie ma i oceny skutków dokonać trzeba).
2. Przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa – czyli ocenę skutków przeprowadzamy w sytuacji gdy przetwarzamy dużo danych kiedyś nazywanych danymi wrażliwymi (dane o stanie zdrowia, dane biometryczne, dane o osobach skazanych, dane o poglądach politycznych, wyznawanej religii czy orientacji seksualnej). Dużo danych o stanie zdrowia przetwarza np. szpital – ale (zgodnie z motywami RODO) pojedynczy lekarz, który prowadzi swój gabinet – już nie.
3. Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie – czyli np. prowadzenia monitoringu na terenie miasta, centrum handlowego czy też pojazdów poruszających się drogą.
Skoro już wiemy czy musimy dokonać oceny skutków dla ochrony danych, to musimy sobie odpowiedzieć, kiedy trzeba ją zrobić. RODO wskazuje tu tylko jeden wymóg – ocenę skutków należy zrobić przed rozpoczęciem operacji przetwarzania. Czyli najpierw analiza a potem przetwarzanie.
Jak przeprowadzić ocenę skutków dla ochrony danych?
Ok, przechodzimy więc do finału – czyli odpowiedzi na pytanie jak taką ocenę skutków zrobić i co powinno się w niej znaleźć. Tutaj RODO jest już nieco bardziej szczegółowe, mówi bowiem o tym, że w ocenie skutków muszą być następujące elementy:
Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora
Na tym etapie analizujemy w jaki sposób będziemy przetwarzać dane i po co to robimy (czyli jaki realizujemy cel). Szczególnie uwzględniamy to, czy jedną z podstaw przetwarzania danych jest prawnie uzasadniony interes administratora danych. Od tego elementu zaczynamy stworzenie naszej oceny.
Ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów
Tutaj musimy sobie zadać pytanie, czy to co robimy z danymi jest nam rzeczywiście konieczne i uzasadnione naszymi celami. Innymi słowy – zadajemy sobie pytanie czy możemy zrezygnować z tych „krytycznych” operacji przetwarzania, które powodują wysokie ryzyko naruszenia praw i wolności osób fizycznych i osiągnąć nasz cel. Ponadto musimy dojść do wniosku, że realizacja tego celu jest nam rzeczywiście niezbędna i inaczej sobie nie poradzimy. Bierzemy więc pod uwagę tzw. niezbędność i proporcjonalność.
Wydaje się to dziwne? Być może, ale RODO kładzie nacisk na to aby przetwarzać dane (zwłaszcza gdy jest to związane z ryzykiem) tylko wtedy gdy jest to rzeczywiście zasadne. Sugeruję więc przeanalizować ten temat głębiej i nie ograniczać się do krótkiego stwierdzenia, że dane są przetwarzane bo „inaczej się nie da”.
Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą
Ocena ryzyka to pojęcie, które znamy z innych części RODO (np. tych dotyczących tworzenia odpowiedniego stopnia zabezpieczeń danych). Tutaj też musimy taką ocenę zawrzeć. Bierzemy pod uwagę to, co może stać się z przetwarzanymi przez nas danymi (tzn. co może pójść nie tak) i jakie może wywołać to skutki wobec osób, których dane są przetwarzane. Następnie oceniamy, czy ewentualne ryzyko jest wysokie i które operacje/zbiory są szczególnie narażone na jakieś niepożądane zdarzenie.
Środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy
Skoro już wiemy jakie zagrożenia czyhają na nasze dane, musimy stworzyć odpowiedni system zabezpieczeń, tak aby zagrożenia te możliwie zminimalizować. Konieczne jest również opisanie tego w ocenie skutków dla ochrony danych. Zwracam uwagę, że chodzi tu nie tylko o ryzyko związane z wyciekiem danych, ale także ryzyko związane z potencjalnym nieprzestrzeganiem przepisów RODO lub jakichkolwiek innych naruszeń praw osób, których dane dotyczą. Obejmuje to również np. przypadkowe usunięcie danych albo zniszczenie nośnika, na którym się one znajdują. Kluczem jest zawsze zabezpieczenie interesów osoby, której dane dotyczą.
Ostatni etap - co po stworzeniu odpowiedniego dokumentu?
Co dalej? Po stworzeniu odpowiedniej dokumentacji warto w jakichś regularnych odstępach czasu dokonywać analizy naszych operacji przetwarzania, wiążących się z koniecznością stworzenia oceny skutków dla ochrony danych – dotyczy to w szczególności ustalenia czy celów przetwarzania nie możemy zrealizować w jakiś inny sposób (nie pojawiły się jakieś nowe możliwości) oraz czy nasze zabezpieczenia nadal nas chronią przed zagrożeniami.
Czego w przyszłości dowiemy się o ocenie skutków dla ochrony danych? Zapewne pierwsze rozstrzygnięcia Prezesa Urzędu Ochrony Danych Osobowych w tym temacie wskażą nam to, gdzie rzeczywiście trzeba taką ocenę skutków trzeba przygotować a w jakich sytuacjach nie jest to konieczne – obecnie bowiem nadal brakuje nam wypracowanej praktyki w tym zakresie. A sądy, po ewentualnych odwołaniach od decyzji, sprawdzą czy podejście organu w tym zakresie nie jest zbyt surowe (albo zbyt mało surowe).