RODO: Projekt wytycznych Grupy Roboczej w sprawie oceny skutków przetwarzania danych osobowych

Czym jest DPIA?

DPIA to proces służący identyfikacji ryzyka związanego z planowanym przetwarzaniem danych osobowych i zarządzaniu tym ryzykiem. Artykuł 35 ogólnego rozporządzenia o ochronie danych („RODO”) wprowadza obowiązek przeprowadzania DPIA. Obecnie DPIA nie jest obowiązkowe (choć często zalecamy je naszym klientom).

Kiedy DPIA jest obowiązkowe?

DPIA jest obowiązkowe zawsze wtedy, gdy planowane przetwarzanie wiąże się z „dużym prawdopodobieństwem wysokiego ryzyka naruszenia praw lub wolności osób fizycznych”.

Wytyczne zawierają szereg wskazówek mających pomóc w ustaleniu, czy w danym przypadku powyższa przesłanka została spełniona. Zgodnie z tymi wskazówkami przy badaniu czy istnieje obowiązek przeprowadzenia DPIA należy przede wszystkim rozważyć, czy przetwarzanie jest związane z:

• ewaluacją lub oceną osób fizycznych (np. na potrzeby reklamy internetowej),
• zautomatyzowanym podejmowaniem istotnych decyzji (np. decyzji kredytowych),
• systematycznym monitorowaniem (np. korespondencji elektronicznej),
• danymi wrażliwymi (np. o zdrowiu, karalności),
• danymi podmiotów o słabszej pozycji (np. pracowników, dzieci),
• przekazywaniem danych poza UE,
• zestawianiem kilku zbiorów danych,
• nowymi technologiami lub
• dużą skalą.

Zdaniem Grupy Roboczej wystąpienie choćby dwóch z powyższych okoliczności uzasadnia przeprowadzenie DPIA. A o to nietrudno – dotyczy to na przykład przechowywania przez szpital danych pacjentów (dane wrażliwe i podmioty o słabszej pozycji), monitorowania przez pracodawcę stron przeglądanych przez pracowników (monitorowanie i podmioty o słabszej pozycji), profilowania dużej grupy internautów na potrzeby reklamy internetowej (profilowanie i duża skala) czy też przechowywania danych pracowników na serwerach w USA (podmioty o słabszej pozycji i transfer poza UE).

Oczywiście w większości przedsiębiorstw procesy przetwarzania danych osobowych nie są dane raz na zawsze. Co jakiś czas pojawiają się nowe procesy nowe technologie przetwarzania, a istniejące ulegają nieustannym zmianom. Dobrą praktyką stosowaną przez wielu przedsiębiorców jest wdrożenie krótkiej ankiety screeningowej skierowanej do osób odpowiedzialnych za tworzenie oraz modyfikację procesów przetwarzania danych osobowych. Jej regularne stosowanie pozwala na identyfikację procesów i zmian, które wymagają przeprowadzenia DPIA, przy relatywnie małym nakładzie sił i środków. Aby zapewnić, że kwestie ochrony danych są traktowane wystarczająco poważnie, niektóre organizacje od przeprowadzenia takiej wstępnej analizy screeningowej uzależniają finansowanie projektu.

Jeśli administrator uważa, że pomimo wystąpienia dwóch spośród wymienionych wyżej okoliczności nie ma konieczności przeprowadzenia DPIA, „musi on dokładnie udokumentować powody” jego niedokonania. Wygląda więc na to, że pojęcie DPIA będzie musiało stać się bliskie znacznej części administratorów danych osobowych.

Jak przeprowadzić DPIA?

Zgodnie z przepisami rozporządzenia DPIA powinno obejmować: opis planowanych operacji przetwarzania danych osobowych, uzasadnienie ich proporcjonalności, identyfikację związanego z nimi ryzyka, środków jego ograniczenia oraz metod wykazywania legalności. Sercem DPIA jest identyfikacja ryzyk związanych z przetwarzaniem. Pewnym ułatwieniem może być podzielenie ryzyk na trzy kategorie: ryzyko dla podmiotów danych (zagrożenia fizyczne, finansowe i niematerialne), ryzyko dla organizacji (np. kary pieniężne, konieczność wypłaty odszkodowań lub zadośćuczynień) i ryzyko compliance (zgodność ze wszystkimi zasadami przetwarzania danych). Doświadczenie pokazuje, że kluczem do efektywnego DPIA są konsultacje z osobami zaangażowanymi w dany proces przetwarzania. Bez tego niektóre ryzyka związane z przetwarzaniem mogą zostać łatwo pominięte.

Korzyści i koszty

Oprócz uchronienia go od potencjalnej kary, DPIA może też pomóc przedsiębiorcy w uzyskaniu przewagi konkurencyjnej. Producenci oprogramowania i urządzeń używanych przy przetwarzaniu danych osobowych (np. aplikacji CRM, inteligentnych liczników prądu) mogą wykorzystać wyniki DPIA do promowania swoich produktów. DPIA przeprowadzone przez producenta nie zwolni co prawda klienta z obowiązku przeprowadzenia własnego DPIA, ale może je znacznie ułatwić.

RODO stanowi, że DPIA może obejmować wiele operacji przetwarzania, jeśli są podobne i wiążą się z analogicznym ryzykiem (przewoźnik kolejowy może więc objąć jednym DPIA systemy monitoringu wizyjnego na wszystkich swoich stacjach kolejowych). Wytyczne wskazują dodatkowo, że jedno wspólne DPIA może przeprowadzić grupa administratorów danych (np. kilka organów samorządowych wdrażających podobne systemy CCTV). Łączone DPIA – niezależnie od tego, czy będą przeprowadzane w ramach organizacji branżowych, czy też grup tworzonych ad hoc – mogą się przyczynić do zmniejszenia kosztów obciążających pojedynczych administratorów. Przy ich planowaniu trzeba jednak mieć na względzie reguły prawa antymonopolowego (zwłaszcza zasady wymiany informacji między konkurentami).

Zakres czasowy i konsekwencje naruszeń

Obowiązek przeprowadzenia DPIA dotyczy operacji przetwarzania rozpoczętych po wejściu w życie RODO. Nie oznacza to jednak, że „wątpliwe” procesy przetwarzania rozpoczęte przed 25 maja 2018 r. zostaną automatycznie zalegalizowane. Konieczne będzie zapewnienie, że pozostają w zgodzie z innymi wymogami rozporządzenia (m.in. zasadą legalności, ograniczenia celu, minimalizacji etc.).

Nieprzeprowadzenie obowiązkowego DPIA albo przeprowadzenie go w sposób niewłaściwy jest zagrożone karą finansową do 10 mln Euro lub 2% całkowitego światowego obrotu z poprzedniego roku obrotowego (decyduje kwota wyższa).

Ostateczna wersja wytycznych zostanie przyjęta w październiku.