Czy DPIA jest nam potrzebne?

Grupa Robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (WP29) przygotowała wytyczne, które mają pomóc w podjęciu decyzji dotyczącej konieczności przeprowadzenia analizy ryzyka dla oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA).

W opinii Grupy, zgodnie z przewidzianym w RODO podejściem opartym na analizie ryzyka, przeprowadzenie oceny skutków dla ochrony danych nie jest obowiązkowe w przypadku każdej operacji przetwarzania. Wyjątkiem jest przypadek, gdy dany rodzaj przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych” (art. 35 ust. 1).

Schemat postępownia

Grupa udostępniła schemat postępowania mający ułatwić podjęcie decyzji dotyczącej konieczności opracowania takiego dokumentu. Przedstawiono na nim podstawowe zasady związane z oceną skutków dla ochrony danych, o których mowa w RODO.

Podstawowe zasady związane z oceną skutków dla ochrony danych

Przygotowano jednocześnie definicje operacji dokonywanych na danych oraz opisy sytuacji, w których mamy do czynienia w trakcie przetwarzania danych. Wskazane w nich kryteria ułatwić mają ocenę, czy dana operacja przetwarzania wymaga przeprowadzenia oceny skutków dla ochrony danych.

Przykłady przetwarzania Istotne kryteria
Istnieje ryzyko, że będzie wymagane przeprowadzenie oceny skutków dla ochrony danych
Szpital przetwarzający dane genetyczne i dane dotyczące zdrowia pacjenta s(system informatyczny szpitala). – Dane wrażliwe lub dane o charakterze wysoce osobistym.
– Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą.
– Dane przetwarzane na dużą skalę.
Zastosowanie systemu kamer monitorujących zachowanie kierowców na drogach. – Systematyczne monitorowanie.
– Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych.
Przedsiębiorstwo systematycznie monitoruje działania swoich pracowników, m.in. ich stanowiska pracy i aktywność w internecie itd. – Systematyczne monitorowanie.
– Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą.
Gromadzenie publicznych danych z mediów społecznościowych w celu wygenerowania profilu. – Ocena lub punktacja.
– Dane przetwarzane na dużą skalę.
– Dopasowanie lub łączenie zbiorów danych.
– Dane wrażliwe lub dane o charakterze wysoce osobistym.
Instytucja tworząca rating kredytowy lub bazę danych zawierającą informacje o nadużyciach finansowych. – Ocena lub punktacja.
– Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku.
– Dane wrażliwe lub dane o charakterze wysoce osobistym.
– Uniemożliwienie osobom, których dane dotyczą, wykonywania prawa lub korzystania z usługi lub umowy.
Przechowywanie do celów archiwizacji wrażliwych danych osobowych opatrzonych pseudonimem dotyczące osób wymagających szczególnej opieki, biorących udział w projektach badawczych lub badaniach klinicznych. – Dane wrażliwe.
– Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą.
– Uniemożliwienie osobom, których dane dotyczą, wykonywania prawa lub korzystania z usługi lub umowy.
Brak ryzyka dotyczącego przeprowadzenia oceny
Przetwarzanie danych osobowych przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. – Dane wrażliwe lub dane o charakterze wysoce osobistym.
– Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą.
Magazyn internetowy korzystający z listy dystrybucyjnej do wysyłania wiadomości do swoich subskrybentów. – Dane przetwarzane na dużą skalę.
Strona internetowa poświęcona handlowi elektronicznemu, wyświetlająca reklamy profilowane (korzystająca z profilowania w oparciu o elementy
przeglądane lub kupione na tej stronie internetowej).
– Ocena lub punktacja.

Dodatkowo WP29 uważa, że ocena skutków dla ochrony danych nie jest wymagana w następujących przypadkach:

  • gdy nie jest prawdopodobne, aby operacja przetwarzania „mogła powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych” (art. 35 ust. 1),
  • gdy charakter, zakres, kontekst i cele przetwarzania są bardzo podobne do operacji przetwarzania, w przypadku których przeprowadzono już ocenę skutków dla ochrony danych (art. 35 ust. 119,;
  • gdy operacje przetwarzania zostały sprawdzone przez organ nadzorczy przed majem 2018 r. w szczególnych warunkach, które nie uległy zmianie,
  • jeżeli operacja przetwarzania ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, które reguluje daną operację przetwarzania, oraz jeżeli już dokonano oceny skutków dla ochrony danych w związku z przyjęciem tej podstawy prawnej (art. 35 ust. 10),
  • jeżeli operacje przetwarzania zostały umieszczone w opcjonalnym wykazie (utworzonym przez organ nadzorczy) operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust. 5).

Zdaniem europejskich organów ochrony danych, przeprowadzenie oceny skutków dla ochrony danych jest niezbędne dopiero dla operacji prowadzonych po 25 maja 2018 r. lub operacji, które zostały znacząco zmienione (np. została wprowadzona do użytku nowa technologia, dane osobowe są wykorzystywane w innym celu lub też administrator danych zdecydował o rozpoczęciu transferu tych danych do państwa trzeciego).

Zobacz:

  1. Article 29 working party http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358
  2. Data protection in the EU https://ec.europa.eu/…/data-protection

One thought on “Czy DPIA jest nam potrzebne?

  1. I was excited to uncover this great site. I need to to thank you for your time for this particularly wonderful read!! I definitely enjoyed every part of it and I have you book marked to check out new stuff in your web site.

Comments are closed.