Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO ogólne rozporządzenie o ochronie danych – dziś wchodzi w życie) na podstawie art. 35 wprowadza ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych tzw. Data Privacy Impact Management (DPIA). Ma to zastąpić dotychczasowy obowiązek dokonywania zgłoszeń zbiorów danych osobowych do głównego inspektora ochrony danych osobowych. Administrator danych osobowych samodzielnie ma dokonywać oceny procesów przetwarzania danych osobowych pod kątem ryzyka. Jego zadaniem jest również wdrożenie środków organizacyjnych i technicznych służących jego ograniczeniu.
Ustawodawca unijny przepisy dotyczące DPIA sformułował w sposób niejednoznaczny. W RODO czytamy, że przeprowadzenie DPIA nie jest obowiązkowe dla każdej operacji przetwarzania danych. DPIA wymagane jest jedynie, gdy przetwarzanie jest „prawdopodobnym zagrożeniem dla praw i wolności osób fizycznych”. W celu lepszego zrozumienia celu ustawodawcy unijnego, tzw. Grupa Robocza Artykułu 29 (GR29) sformułowała ogólne wytyczne przy przeprowadzaniu DPIA.
Od kiedy stosować DPIA
Głównym celem DPIA jest ustalenie prawdopodobieństwa oraz wagi ryzyka dla praw i wolności osób, które może wiązać się z planowanymi czynnościami przetwarzania, a także wdrożenie środków minimalizujących to ryzyko. Zgodnie z art. 35 ust. 7 RODO, DPIA powinno oprócz tego obejmować opis planowanych operacji i celów przetwarzania, ocenę proporcjonalności i niezbędności przetwarzania, a także zapewnienie jego zgodności z wymogami RODO. Proces ten powinien rozpocząć się już na etapie projektowania planowanych operacji przetwarzania danych. Wszystko po to, aby możliwie szybko móc wpłynąć na kształt projektu, z którym wiąże się przetwarzanie danych osobowych, w zależności od wyników tej analizy. Stworzenie raportu z DPIA powinno stanowić jedynie część tego procesu.
DPIA może dotyczyć zarówno pojedynczych operacji przetwarzania, jak również wielu operacji przetwarzania, które wiążą się z podobnie wysokim ryzykiem. Dlatego też wykonanie DPIA może być niezbędne przed wprowadzeniem nowego produktu technologicznego (np. aplikacji zbierającej dane osobowe), lub też nowego procesu w ramach organizacji, wykorzystującego podobną technologię do zbierania takiego samego rodzaju danych do tych samych celów (np. systemu kontroli dostępu przy wykorzystaniu danych biometrycznych).
Nie ma wymagania, żeby DPIA było przeprowadzone dla każdej formy czy operacji przetwarzania danych osobowych. Przeprowadzenie DPIA jest konieczne tylko, gdy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych”. W przepisach RODO wskazane zostały trzy grupy przypadków, kiedy przetwarzanie „może prowadzić do wystąpienia wysokiego ryzyka”. Jednak użyte przez ustawodawcę sformułowanie „w szczególności” zwraca uwagę na charakter otwarty tego katalogu. Oznacza to, że obowiązek taki może powstać również w przypadku przetwarzania o innym charakterze niż wskazany w przepisie RODO. W takiej sytuacji to ADO powinien samodzielnie ocenić, czy planowany projekt związany z przetwarzaniem danych wiąże się z wysokim ryzykiem dla prywatności osób fizycznych. Jednocześnie w sytuacji, w której ADO uzna, że nie zachodzi konieczność przeprowadzania DPIA, powinien udokumentować uzasadnienie swojej decyzji.
Wykaz operacji
Dokonanie takiej analizy może okazać się problematyczne. RODO nie określa, w jaki sposób powinna być przeprowadzona DPIA oraz jaką formę powinien przyjąć finalizujący ją raport, poprzestając jedynie na wskazaniu w art. 35 ust. 7 minimalnych elementów, jakie powinien on zawierać. Krajowe organy nadzorcze zostały zobowiązane do sporządzenia wykazu operacji przetwarzania, dla których niezbędne będzie sporządzenie DPIA. Póki co, GR29 opublikowała wytyczne, w których określa przesłanki, jakie należy uwzględniać przy ocenie, czy dany rodzaj przetwarzania wiąże się z wysokim ryzykiem. Według ustaleń GR29, ryzyko będzie wiązało się z:
– ewaluacją i scoringiem (ocena punktowa wiarygodności kredytobiorcy), uwzględniającym profilowanie i przewidywanie,
– zautomatyzowanym podejmowaniem decyzji ze skutkiem prawnym lub porównywalnym,
– systematycznym monitoringiem miejsc publicznych,
– przetwarzaniem szczególnych kategorii danych osobowych,
– danymi przetwarzanymi na dużą skalę,
– zestawami danych, które zostały połączone lub dopasowane, w celu tworzenia profili marketingowych,
– wykorzystaniem innowacyjnych rozwiązań technologicznych i/lub organizacyjnych,
– transferem danych poza granice EOG,
– kiedy przetwarzanie samo w sobie „uniemożliwia podmiotom danych wykonywanie prawa lub używanie usługi lub kontraktu”.
Jeżeli operacja przetwarzania spełnia dwa lub więcej z powyższych kryteriów, powstaje obowiązek przeprowadzenia DPIA. Oczywiście możliwe są sytuacje, gdy wystarczy spełnienie jednego kryterium, lub pomimo spełnienia dwóch kryteriów taki obowiązek nie powstanie. GR29 rekomenduje, aby w razie wątpliwości, co do istnienia takiego obowiązku, dokonać oceny skutków dla ochrony danych (DPIA) .
Obowiązek przeprowadzania DPIA dotyczy wyłącznie operacji przetwarzania danych wdrażanych po 25 maja 2018 r. Oznacza to, że DPIA nie musi być przeprowadzana dla istniejących już procesów przetwarzania, nawet, jeśli wiążą się one z wysokim ryzykiem. Pomimo tego, przeprowadzenie DPIA w stosunku do istniejących operacji jest rekomendowane przez GR29.
Zasada rozliczalności
ADO powinien być w stanie wykazać przestrzeganie przepisów o ochronie danych osobowych. Nawet, gdy administrator dojdzie do wniosku, iż określony projekt nie wiąże się z wysokim ryzykiem dla praw i wolności podmiotów danych, które będą w nim przetwarzane, dokonanie takiej analizy w dalszym ciągu może okazać się korzystnym rozwiązaniem. Przeprowadzenie DPIA (na etapie projektowania procesu przetwarzania) pozwala na wykrycie nieefektywnych modeli przepływu danych oraz ich optymalizację, a także wyeliminowanie z projektu zbędnych procesów przetwarzania. Wdrożenie mechanizmów zabezpieczających prawa podmiotów danych już w fazie tworzenia procesu, będzie skutkowało brakiem konieczności późniejszego jego przekształcania i dostosowywania do wymogów RODO.
ADO powinien być w stanie wykazać przestrzeganie przepisów o ochronie danych, w związku z zasadą rozliczalności wyrażoną w art. 5 ust. 2 RODO. Jednym z narzędzi umożliwiających realizację tej zasady jest zastosowanie DPIA. Starannie przeprowadzona DPIA, będzie stanowiła potwierdzenie, że ADO uwzględnił konieczność ochrony danych już w fazie projektowania procesu i podjął działania zmierzające do minimalizacji ryzyka oraz zapewnienia zgodności procesów z pozostałymi zasadami RODO. Ponadto, przeprowadzenie oceny skutków dla ochrony danych już w fazie projektowania, będzie stanowiło praktyczną implementację obowiązku wyrażonego w art. 25 RODO.
Jaka specyfika
Administratorzy danych w pewien sposób dysponują swobodą, co do metod przeprowadzenia DPIA, ze względu na brak określenia jednoznacznego sposobu oceny ryzyka. Niezależnie od przyjętej metodologii, specyfika DPIA wymaga uwzględnienia w procesie elementów charakterystycznych dla analizy skierowanej na ochronę danych osobowych. GR29 w swoim raporcie wyróżnia:
– systematyczny opis planowanych operacji przetwarzania,
– dokonanie oceny niezbędności i proporcjonalności operacji przetwarzania w stosunku do celów, jakie mają być zrealizowane,
– zarządzanie ryzykiem naruszenia praw lub wolności podmiotów danych,
– zaangażowanie w proces zainteresowanych stron.
W przypadku, gdy ADO stwierdzi, że w dalszym ciągu ryzyko jest wysokie (pomimo zastosowania środków ograniczających ryzyko) to zgodnie z art. 36 RODO będzie on zobowiązany skonsultować się z Urzędem Ochrony Danych Osobowych (UODO) jeszcze przed rozpoczęciem przetwarzania, a organ nadzorczy w ciągu 8 tygodni będzie musiał przedstawić swoje ewentualne zastrzeżenia.
Brak odpowiedzi w tym terminie nie będzie równoznaczny z akceptacją, a UODO nadal będzie miał możliwość zakwestionowania przetwarzania na późniejszym etapie, co w praktyce może prowadzić do dużej niepewności prawnej.
Z drugiej strony, ADO będzie zwolniony z obowiązku konsultacji, jeśli będzie w stanie wykazać, iż ryzyko to może zostać zminimalizowane środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia. Niezależnie od tego zasadne może być również określenie przez ADO procedury konsultacji z UODO.
Zdaniem eksperta
Artur Piechocki, radca prawny w kancelarii APLaw; Daniel Siciński, prawnik w kancelarii APLaw
Jeżeli prawdopodobieństwo wysokiego ryzyka dla ochrony danych osobowych w ogóle nie występuje, to DPIA nie jest potrzebne. Natomiast w przypadku, gdy ryzyko takie jest uzasadnione to należy zastosować ocenę skutków dla ochrony danych. Należy przy tym pamiętać, że zastosowanie DPIA stwarza również inne korzyści, między innymi takie jak: zwiększenie transparentności projektu czy opublikowanie raportu lub jego części. To wszystko może się przełożyć na większe zaufanie odbiorców wobec produktu lub usługi, z którymi wiąże się przetwarzanie danych osobowych. W razie potencjalnego naruszenia, ADO będzie mógł wykazać, iż dochował należytej staranności i podjął realne działania zmierzające do dostosowania procesów do wymogów RODO oraz ograniczenia ryzyka, co powinno mieć istotny wpływ na rodzaj i wysokość ewentualnej kary.