Ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych. Jest to narzędzie istotne dla celów rozliczalności danych. DPIA jest wymagana tylko, gdy przetwarzanie „z dużym prawdopodobieństwem możę powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. EROD (Europejska Rada Ochrony Danych) będzie mogła wydawać wytyczne, zalecenia oraz określać najlepsze praktyki by zachęcić do spójnego stosowania RODO.

DPIA dąży do:

  • Wspólnego wykazu Unii Europejskiej operacji przetwarzania, dla których DPIA jest obowiązkowa;

  • Wspólnego wykazu Unii Europejskiej operacji przetwarzania, dla których DPIA jest zbędna;

  • Wspólnych kryteriów dotyczących metodologii przeprowadzania DPIA;

  • Wspólnych kryteriów określania, kiedy należy się konsultować z organem nadzorczym. Co zrobić kiedy wiadomo, że nic nie wiadomo? W przypadkach kiedy nie ma pewności co do tego czy dokonanie DPIA jest zasadne czy nie ZALECA SIĘ przeprowadzenie oceny skutków, gdyż jest to narzędzie, którego celem jest pomóc Administratorowi w zapewnieniu zgodności przetwarzania przez niego danych z RODO.

Przykłady przetwarzania danych powodujące duże prawdopodobieństwo wystąpienia wysokiego ryzyka:

  • Systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

  • Przetwarzanie na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i naruszeń prawa;

  • Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Powyższe nie jest katalogiem zamkniętym!

W celu lepszej identyfikacji procesów przetwarzania powodujących duże prawdopodobieństwo wystąpienia wysokiego ryzyka, należy wziąć pod uwagę następujące kryteria:

  • Ewaluacja lub ocena – w tym profilowanie, przewidywanie aspektów/rezultatów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji;

  • Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub podobne istotne skutki;

  • Systematyczne monitorowanie;

  • Dane wrażliwe(sensytywne);

  • Dane przetwarzane na „dużą skalę”;

  • Dokonano porównania lub połączenia zestawów danych;

  • Dane dotyczące osób wymagających szczególnej opieki;

  • Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych;

  • Transgraniczne przekazywanie danych poza obszar Unii Europejskiej;

  • Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą wykonywanie prawa lub korzystania z usługi lub umowy.

Im więcej z przytoczonych kryteriów jest spełnionych, tym większe prawdopodobieństwo wystąpienia wysokiego ryzyka a co za tym idzie naruszenia praw lub wolności osób, które dane dotyczą co powoduje konieczność przeprowadzenia oceny skutków dla ochrony danych. Co do zasady, operacja przetwarzania danych, spełniająca mniej niż dwa kryteria może nie wymagać DPIA ze względu na niższy poziom ryzyka. Aczkolwiek, mogą również wystąpić sytuacje gdzie wystąpienie dwóch lub większej ilości kryteriów nie będzie wymagało dokonywania analizy ryzyka oraz sytuacje gdzie obecność jednego kryterium będzie powodowało konieczność dokonania DPIA.

WAŻNE: krajowy organ nadzorczy będzie zobowiązany ustanowić i podać do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.

Wymóg dokonania oceny skutków dla ochrony danych dotyczy określonych operacji przetwarzania zaistniałych po 25 maja 2018 r.

J E D N A K

ZDECYDOWANIE zaleca się dokonanie DPIA dla operacji już trwających, rozpoczętych przed datą egzekwowania postanowień RODO. Każda zmiana ryzyka, dokonanie znaczącej zmiany operacji przetwarzania, użycie nowej technologii czy też zmiana celu niesienie ze sobą konieczność dokonania przeglądu czy przetwarzanie odbywa się zgodnie z wcześniej przyjętą oceną skutków. W razie potrzeby przeprowadza się ją ponownie. W ramach dobrych praktyk, nawet przy niewielkich zmianach operacji przetwarzania, ponownej oceny skutków dla ochrony danych należy dokonać raz na 3 lata.

Minimalny zakres DPIA:

  • Opis planowanych operacji przetwarzania danych i celów przetwarzania;
  • Ocena operacji pod kątem ich niezbędności i proporcjonalności;
  • Ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • Środki planowane w celu zaradzenia ryzyku i przestrzegania rozporządzenia.

 

Gdy Administrator nie jest w stanie zniwelować zidentyfikowanego (wysokiego) ryzyka i znaleźć stosownych środków ku temu, jest zobowiązany skonsultować się z organem nadzorczym. Ponadto Administrator będzie musiał konsultować się z organem nadzorczym w każdym przypadku, gdy prawo państwa członkowskiego będzie tego wymagało.

Przykładowy wzór wskaźnika ryzyka:

WR = P x S

gdzie:

WR: oznacza wskaźnik ryzyka.

P: oznacza prawdopodobieństwo wystąpienia (1 – małe, 2 – średnie, 3 – wysokie).

S: oznacza powagę skutków (1 – małe, 2 – średnie, 3 – wysokie).

Uzyskany wskaźnik ryzyka używamy do określenia poziomu ryzyka przed zastosowaniem mechanizmów bezpieczeństwa.

Poziomy ryzyka:

NISKI – wskaźnik w granicach 1-3

ŚREDNI – wskaźnik w granicach 4-6

WYSOKI – wskaźnik w granicach 7-9