Data Protection Impact Assessment (DPIA) – Jak przeprowadzić ocenę skutków przetwarzania dla ochrony danych?

Poniżej przedstawiamy krótki przewodnik, który może pomóc w zidentyfikowaniu procesów przetwarzania, które należy poddać ocenie DPIA oraz wyznaczeniu kolejnych etapów tej oceny:
 

Kiedy należy przeprowadzić DPIA?

Nie każdy proces przetwarzania będzie podlegać DPIA.

DPIA należy przeprowadzić, jeśli dany rodzaj przetwarzania – w szczególności z wykorzystaniem nowych technologii - może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

Kiedy istnieje wysokie ryzyko naruszenia praw i wolności osób fizycznych?

W szczególności w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (np. zautomatyzowany scoring kredytowy; lub
• przetwarzania na dużą skalę danych wrażliwych (np. danych o stanie zdrowia, poglądach politycznych); lub
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Rozważyć przeprowadzenie DPIA należy w szczególności, jeśli przetwarzanie następuje z wykorzystaniem nowych technologii.

Przykłady sytuacji, w których należy rozważyć przeprowadzenie DPIA:

• Wykorzystanie nowych technologii: przetwarzanie wykorzystujące nowe technologie lub polegające na innowacyjnym wykorzystaniu lub stosowaniu nowych rozwiązań technologicznych lub organizacyjnych (włączając w to sztuczną inteligencję), np. technologii rozpoznającej odcisk palca i twarz w celu poprawy fizycznej kontroli dostępu.
• Przetwarzanie na dużą skalę: profilowanie osób fizycznych na dużą skalę, przetwarzanie dużej ilości danych osobowych, wpływające na dużą liczbę osób, których dane dotyczą.
• Dane o charakterze wysoce osobistym: kryterium to oznacza szczególne kategorie danych, np. informacje o poglądach politycznych obywateli, ujawniające pochodzenie o    etniczne lub rasowe, wyznanie czy dane o wyrokach skazujących, a także np. dane finansowe. W tym zakresie istotne znaczenie może mieć fakt, czy dane te zostały upublicznione przez osobę, której dotyczą, czy przez osoby trzecie.
• Śledzenie: przetwarzanie obejmuje śledzenie zachowania lub lokalizacji osób fizycznych, m.in. śledzenie w sieci.
• Biometria: przetwarzanie danych biometrycznych.
• Przetwarzanie danych genetycznych.
• Dopasowywanie danych: oznacza łączenie, porównywanie lub dopasowywanie danych osobowych uzyskanych z różnych źródeł. Jest to np. łączenie danych pochodzących z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą.
• Niewidoczne przetwarzanie: przetwarzanie danych osobowych, które nie zostały uzyskane bezpośrednio od podmiotu danych w warunkach, a administrator uznał, że spełnienie obowiązku informacyjnego jest niemożliwe albo wymaga nieproporcjonalnych nakładów.
• Automatyczna odmowa dostępu do usługi: obejmuje sytuacje, gdy decyzja o dostępie osoby fizycznej do produktu, usługi czy korzyści jest oparta na zautomatyzowanym podejmowaniu decyzji (włączając w to profilowanie).
• Ryzyko szkody: ze względu na charakter przetwarzania, w przypadku naruszenia mogłoby dojść do dyskryminacji, kradzieży tożsamości, straty finansowej, naruszenia dobrego imienia, naruszenia poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionego odwrócenia pseudonimizacji lub innej znacznej szkody gospodarczej lub społecznej;
• Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą: kryterium to obejmuje użycie danych osobowych m.in. dzieci w celach marketingowych, profilowania lub automatycznego podejmowania decyzji lub w celu oferowania im bezpośrednio usług.

Jakie czynniki należy wziąć pod uwagę oceniając stopień ryzyka?

• charakter przetwarzania,
• zakres przetwarzania,
• kontekst przetwarzania,
• cele przetwarzania.
   

Charakter przetwarzania oznacza sposób, w jaki administrator danych planuje wykorzystać zebrane dane osobowe. Analiza powyższego kryterium powinna uwzględniać, np.:

• w jaki sposób zbierane są dane,
• w jaki sposób dane są przechowywane,
• kto ma dostęp do danych,
• komu dane będą udostępniane,
• czy administrator planuje korzystać z procesorów,
• okres retencji,
• środki zabezpieczenia danych,
• czy administrator korzysta z nowych technologii.
   

Zakres przetwarzania należy rozumieć jako to, czego dotyczy przetwarzanie. Jego ocena powinna obejmować, np.

• charakter danych osobowych,
• ilość oraz różnorodność danych osobowych,
• fakt, czy dane można postrzegać jako wrażliwe,
• zakres oraz częstotliwość przetwarzania,
• czas trwania przetwarzania,
• liczbę podmiotów danych objętych przetwarzaniem,
• zakres geograficzny przetwarzania.
   

Kontekst przetwarzania jest to szersza perspektywa przetwarzania, z uwzględnieniem czynników wewnętrznych, jak i zewnętrznych, które mogą wpływać na przewidywania oraz skutki przetwarzania. Kontekst przetwarzania wymaga uwzględnienia takich czynników jak:

• źródło danych,
• charakter związku miedzy administratorem a osobami fizycznymi,
• zakres w jakim osoba fizyczna ma kontrolę nad swoimi danymi i może spodziewać się przetwarzania,
• czy przetwarzanie obejmuje dane dzieci lub osób wymagających szczególnej opieki,
• rozwiązania techniczne i środki bezpieczeństwa,
• czy administrator działa zgodnie z postanowieniami kodeksów postępowania opracowanych na gruncie RODO lub czy posiada odpowiednią certyfikację.
  
  

Cel przetwarzania oznacza przyczynę dla której administrator chce przetwarzać dane osobowe. Ten czynnik powinien obejmować analizę:

• zamierzonego skutku wobec osób fizycznych,
• spodziewanych korzyści wynikających z przetwarzania dla administratora lub społeczeństwa,
• prawnie uzasadnionego interesu administratora (jeśli jest on podstawą przetwarzania)

Jak ocenić ryzyko?

RODO ani Grupa Robocza art. 29 nie narzucają konkretnej metodologii przeprowadzania DPIA, pozostawiając w tym zakresie pewną swobodę administratorom danych. Należy jednak pamiętać, że DPIA powinna odbywać się w sposób usystematyzowany, w oparciu o wcześniej opisane kryteria. Celem opracowania metodologii jest, aby poszczególne DPIA przeprowadzane były w sposób jednolity, a wyniki dla poszczególnych procesów przetwarzania danych były ze sobą obiektywnie porównywalne.

Ocena poziomu ryzyka jest centralnym punktem, aby stwierdzić: a) czy DPIA jest konieczne oraz b) czy należy przeprowadzić konsultacje z organem nadzoru.

Administrator powinien:

• postarać się zidentyfikować źródła ryzyk związanych z przetwarzaniem danych osobowych – często dokonuje się podziału na ryzyka związane z naruszeniem poufności, integralności i dostępności danych,
• przeanalizować sytuacje, w które powodują powstanie ryzyka (np. wykorzystanie konkretnych technologii, dostęp osoby nieuprawnionej, atak z zewnątrz, awaria systemu),
• ocenić ryzyko oraz
• przygotować plan zminimalizowania lub wyeliminowania ryzyk.

Ocena ryzyka może nastąpić poprzez dokonanie pomiaru dwóch czynników:

• prawdopodobieństwa zmaterializowania się ryzyka (np. prawdopodobieństwa wycieku danych, złamania zabezpieczenia danych),
• skutku zmaterializowania się ryzyka (np. ile osób poniesie szkodę, czy będą to szkody majątkowe, szkody na osobie, jak dotkliwe będą te szkody).

Administrator może przypisać wartości na skalach prawdopodobieństwa i skutku wystąpienia ryzyka, aby ocenić stopień ryzyka i podjąć decyzję dotyczącą DPIA lub konsultacji z organem nadzoru. Należy pamiętać, że DPIA przeprowadzana jest z punktu widzenia osób fizycznych (i ryzyk dla nich), nie zaś dla organizacji.

Jak wyglądają poszczególne etapy DPIA?

Poniższy diagram przedstawia uproszczony schemat działania przy przeprowadzaniu oceny DPIA: