Ocena skutków przetwarzania dla ochrony danych osobowych

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „RODO” wprowadza szereg zmian w zakresie bezpieczeństwa przetwarzania danych osobowych.

Jedną z najistotniejszych zmian w stosunku do obowiązujących przepisów i koncepcji ochrony danych osobowych jest wprowadzenie obowiązku przeprowadzenia przed przystąpieniem do przetwarzania danych oceny skutków przetwarzania dla ochrony danych.

Zgodnie z treścią art. 35 ust. 1 RODO „jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”. RODO wskazuje jedynie kilka przypadków obligatoryjnego stosowania oceny. Przy tym jest to katalog otwarty.  Zgodnie z RODO ocena skutków dla ochrony danych  jest wymagana w szczególności w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych wrażliwych (pochodzenie rasowe, etniczne, poglądy, wyznanie, dane dotyczące zdrowia itp.) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Z treści RODO wynika zatem, że nie w każdym przypadku dokonanie oceny będzie konieczne. Kryterium stanowić będzie duże prawdopodobieństwo spowodowania ryzyka naruszenia praw lub wolności osób fizycznych. Każdy administrator przed planowanym przetwarzaniem danych będzie musiał sam ocenić czy ono występuje.

RODO nie wskazuje jak dokładnie ma przebiegać ocena. W treści motywu 84 RODO stwierdzono, iż ocena skutków przetwarzania danych osobowych ma na celu oszacowanie w szczególności źródła, charakteru, specyfiki i powagi ryzyka naruszenia praw lub wolności osób fizycznych związanego z przetwarzaniem danych osobowych. Natomiast w myśl motywu 90 RODO ‚ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia’.

Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony. Jeżeli zaś chodzi o treść oceny to przepisy rozporządzenia wskazują jej niezbędne elementy. Ocena skutków przetwarzania obligatoryjne zawiera co najmniej:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Zgodnie z treścią art. 36 ust. 1 RODO jeżeli ocena skutków przetwarzania dla ochrony danych wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym. Zatem jeżeli okaże się, że brak jest środków pozwalających na zminimalizowanie zidentyfikowanego ryzyka to przed przystąpieniem do przetwarzania danych konieczna będzie konsultacja z organem nadzorczym.

Należy mieć świadomość, że w trakcie przetwarzania danych może zajść konieczność aktualizacji oceny ryzyka. W dynamicznych lub często zmieniających się operacjach przetwarzania danych aktualizacja oceny skutków przetwarzania może okazać się konieczna dla rzeczywistego zapewnienia należytej ochrony przetwarzania danych.