GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Ocena skutków przetwarzania danych osobowych (DPIA) w GDPR – Projekt wytycznych Grupy Roboczej art. 29

Rozporządzenie o ochronie danych osobowych (GDPR) wprowadza na podstawie art. 35 ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (DPIA). W dniu 4 kwietnia 2017 r. Grupa Robocza Art. 29 wydała wytyczne związane ze stosowaniem art. 35 GDPR oraz wymogi wynikające z tego artykułu (w szczególności obejmujące rozumienie pojęcia „wysokiego ryzyka naruszenia praw lub wolności osób fizycznych”). Dokument z posiedzenia Grupy Roboczej Art. 29 można pobrać ze strony:  ec.europa.eu/newsroom/document.cfm?doc_id=44137.

Jednocześnie Grupa Robocza Art. 29 wyznaczyła datę, do kiedy można zgłaszać uwagi dotyczące wytycznych zawartych w dokumencie. Konsultacje publiczne mają trwać do 23 maja 2017 r.[1].

Stosowanie DPIA może się okazać niezbędne w przypadku pojedynczej operacji przetwarzania danych osobowych lub zestawów podobnych operacji na danych osobowych (zgodnie z art. 35 ust. 1 zdanie 2 GDPR dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę). Powyższe znajduje potwierdzenie w treści motywu 92 preambuły, zgodnie z którym w niektórych okolicznościach rozsądnie i korzystnie byłoby nie ograniczać oceny skutków dla ochrony danych do pojedynczego projektu, na przykład w przypadkach gdy organy lub podmioty publiczne zamierzają ustanowić wspólną aplikację lub platformę przetwarzania lub gdy kilku administratorów planuje wprowadzić wspólną aplikację lub środowisko przetwarzania obejmujące sektor lub segment gospodarki lub szeroko rozpowszechnioną działalność horyzontalną. Jako przykład można wskazać operatora kolejowego, który prowadzi monitoring na swoich stacjach kolejowych – w takim przypadku wystarczy przeprowadzenie pojedynczej oceny skutków dla danych osobowych (DPIA) ponieważ wszelkie operacje przetwarzania danych (w odniesieniu do każdej ze stacji kolejowych) cechują się podobnym wysokim ryzykiem (zob. motyw 91 preambuły GDPR).

Wytyczne zaproponowane przez Grupę Roboczą określają kryteria, z którymi będzie wiązała się konieczność stosowania regulacji z art. 35 GDPR. Jeżeli operacje na danych będą się wiązały z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych oraz jeżeli zostaną spełnione inne kryteria (o czym poniżej) obowiązkowe będzie przeprowadzenie oceny skutków przetwarzania dla ochrony danych osobowych (DPIA). Należy zaznaczyć, iż pojęcie „praw i wolności osób fizycznych” odnosi się w szczególności do prawa do prywatności, ale także do prawa do wolności wypowiedzi, swobody poruszania się, zakazu dyskryminacji, swobody myśli, prawa do wolności i swobody przekonań oraz poglądów religijnych.

Wśród kryteriów zastosowania oceny skutków dla ochrony danych znajdują się m.in. następujące przesłanki[1]: a) czy przetwarzane dane podlegają profilowaniu (m.in. czy dokonywana jest ocena lub przyznawana jest punktacja na podstawie przewidywań administratora w związku z profilowaniem danych, szczególnie jeżeli prognozowanie dotyczy efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – zob. motywy 71 i 91 GDPR)?; b) czy przetwarzanie danych obejmuje automatyczne podejmowanie decyzji, które wywierają znaczący wpływ na prawa osoby, której dotyczą?; c) czy wykonywany jest systematyczny monitoring na dużą skalę miejsc dostępnych publicznie?; d) czy przetwarzane są dane szczególnych kategorii, o których mowa w art. 9 GDPR lub dane dotyczące wyroków skazujących, naruszeń prawa lub związanych z tym środków bezpieczeństwa?; e) czy zbiory danych podlegają łączeniu?; f) czy dane osobowe są przetwarzane z wykorzystaniem innowacyjnych technologii lub z wykorzystaniem innowacyjnych środków organizacyjnych, w szczególności dotyczących identyfikacji osób fizycznych z zastosowaniem linii papilarnych lub z wykorzystaniem biometrii?; g) czy dane są przekazywane poza UE?; h) czy dane są przetwarzane na wielką skalę[2]?; i) czy operacje przetwarzania utrudniają osobom, których dane dotyczą, wykonywanie przysługującym ich praw?

Wytyczne wskazują również, że w celu zastosowania mechanizmów wynikających z art. 35 GDPR należy spełnić przynajmniej dwie z powyższych przesłanek. Czasami jednak w przypadku spełnienia tylko jednej przesłanki możliwe będzie zastosowanie DPIA pod warunkiem, że będzie to uzasadnione okolicznościami danego przypadku.

Wskazać należy także, iż stosownie do art. 30 ust.1 GDPR administrator lub – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają, który obejmuje m.in. cele przetwarzania, opis rodzajów danych lub odbiorców oraz (gdzie to możliwe) ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 GDPR (obowiązek oceny ryzyka naruszenia praw i wolności osób, których dane dotyczą istnieje zawsze nawet, gdy ostatecznie administrator nie decyduje się na dokonanie oceny skutków dla danych osobowych).

Wymóg stosowania oceny skutków będzie dotyczył operacji przetwarzania rozpoczętych po 25 maja 2018 r. Jednakże Grupa Robocza rekomenduje wykonanie DPIA dla operacji przetwarzania, które rozpoczynają się przed dniem 25 maja 2018 r. oraz, które już trwają we wskazanym dniu, szczególnie jeśli przetwarzanie obejmuje nową technologię lub zmianę w zakresie celu, ryzyka, kontekstu lub źródła przetwarzanych danych.

Wedle wytycznych ocena skutków nie jest wymagana także w przypadku, gdy przetwarzanie nie prowadzi do wysokiego ryzyka naruszenia praw i wolności osób, a zostało już dopuszczone w bardzo podobnym procesie przetwarzania, ma podstawę prawną w prawie UE lub w państwie członkowskim[3] lub gdy przetwarzanie znajduje się na liście operacji zwolnionych z oceny skutków przez organ nadzorczy.

Stosownie do art. 35 ust. 4 GDPR organ nadzorczy ustala i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1 tego artykułu. Zgodnie z wytycznymi do operacji takich mogą się zaliczać operacje przetwarzania danych biometrycznych lub danych osobowych dziecka.

Ocena skutków powinna zostać dokonana przed podjęciem czynności przetwarzania. Dokonując oceny administrator powinien konsultować się również z inspektorem ochrony danych (IOD), jeżeli został on powołany (oraz uwzględnić ocenę IOD w odniesieniu do konieczności zastosowania DPIA). Jednocześnie, na podstawie art. 39 ust. 1 pkt c GDPR, obowiązkiem IOD jest udzielanie na żądanie zaleceń co do oceny skutków oraz monitorowanie ich wykonania zgodnie z art. 35 GDPR. Zgodnie z przepisami GDPRDPIA musi zawierać co najmniej cztery elementy: a) opis planowanych operacji przetwarzania i ich cel; b) ocenę niezbędności i proporcjonalności przetwarzania w odniesieniu do celów; c) ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą; d) środki mające na celu minimalizację ryzyka oraz wykazanie pożądanej zgodności z GDPR. Jeżeli za przetwarzanie danych podlegających ocenie skutków odpowiadają współadministratorzy powinno zostać także jasno określone za jaką część przetwarzania odpowiadają. Jako „dobrą praktykę” Grupa Robocza określa konsultacje DPIA z niezależnymi ekspertami, takimi jak prawnicy, technicy, specjaliści od bezpieczeństwa, socjolodzy lub etycy. Ponadto, w przypadku, gdy w proces przetwarzania będzie zaangażowany procesor, konieczne jest, aby jego rola w procesie przetwarzania została określona w mowie oraz jest on zobowiązany do pomocy we wdrożeniu DPIA (z uwzględnieniem charakteru operacji przetwarzania oraz posiadanych przez niego informacji).

Elementy, które powinny zostać uwzględnione w procesie dokonywania oceny skutków, powinny być poddawane okresowemu przeglądowi oraz dokonywane według następującego schematu:

Jednocześnie należy podkreślić, iż administrator powinien przed przetwarzaniem dokonać oceny skutków dla ochrony danych, aby ocenić (a) konkretne prawdopodobieństwo i powagę wysokiego ryzyka, (b) uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka. Ocena skutków powinna obejmować (c) planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie GDPR (zob. motyw 90 preambuły rozporządzenia oraz str. 15 Wytycznych). Ponadto, stosownie do art. 35 ust. 11 GDPR, w razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.

Ponadto DPIA powinno uwzględniać zgodność z wszelkimi obowiązującymi kodeksami postępowania. Uwzględnienie zgodności z kodeksami postępowania może być pomocne w celu wykazania przyjęcia właściwych środków w celu zminimalizowania ryzyka prowadzonych operacji na danych osobowych, jeżeli kodeksy postępowania są odpowiednie do prowadzonych operacji na danych. Należy też wskazać, że wytyczne dopuszczają pewną swobodę w zakresie przyjęcia zasad dokonywania oceny skutków planowanych operacji przetwarzania dla danych osobowych przez administratorów danych. We wszystkich formach DPIA służy jako autentyczna ocena ryzyka i narzędzie służące do likwidowania zagrożeń związanych z przetwarzaniem danych osobowych. Wytyczne zawierają również załączniki obejmujące przykłady i kryteria akceptowalnego DPIA.

Zgodnie z art. 35 ust. 9 GDPR w stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania. Grupa Robocza art. 29 wskazuje, że zasięgnięcie opinii może się odbywać z wykorzystaniem różnych środków w zależności od kontekstu (np. zasięgnięcie opinii może polegać na skierowaniu formalnych zapytań skierowanych do przedstawicieli pracowników lub przedstawicieli związków zawodowych lub w formie ankiety skierowanej do potencjalnych klientów administratora). Jeżeli administrator zdecyduje się na inne rozwiązanie niż to wynikające z otrzymanych odpowiedzi, powinien to udokumentować wraz z uzasadnieniem. Podobnie jeżeli administrator nie zdecyduje się na zasięgnięcie opinii osób, których dane dotyczą – powinien to udokumentować.

Należy także wskazać, że w przypadku gdy administrator danych nie może w całości zlikwidować zidentyfikowanych ryzyk ujawnionych w wyniku zastosowania DPIA, konieczne jest, aby skonsultował się z organem nadzorczym (na co zwrócono uwagę w GDPR w motywie 84 preambuły). Dotyczy to w szczególności sytuacji, gdy przetwarzanie danych mogłoby się wiązać z poważnym lub nieodwracalnym ryzykiem dla osób, których dane dotyczą lub gdy jest oczywiste, że takie ryzyko wystąpi.

Przepisy GDPR nie przewidują obowiązku publikacji opracowanego DPIA – decyzja w tym zakresie należy do administratora danych. Istotne wnioski wynikające z dokonanej analizy mogą zostać opublikowane, ale nie ma konieczności wskazywania w publikacji danych, które są objęte tajemnicą przedsiębiorstwa lub obejmują informacje o operacjach na danych osobowych, które wiążą się z ryzkiem naruszenia praw lub wolności osób, których dane dotyczą. Publikacja niektórych wniosków z dokonanego DPIA może jednak być środkiem mającym na celu wykazanie zgodności z GDPR oraz budować wiarygodność administratora.

Głównym celem DPIA jest zapewnienie zgodności procesów przetwarzania z GDPR. Dzięki przyjętym wytycznym administratorzy danych mogą przygotować się do prawidłowego wdrożenia zasad dokonywania oceny skutków w związku z operacjami przetwarzania danych. Wytyczne pomagają w szczególności prawidłowo interpretować pojęcie „wysokiego ryzyka dla praw i wolności”, co stanowi istotną wskazówkę przy konstruowaniu postanowień dotyczących DPIA.

Źródło:

https://iapp.org/news/a/wp29-proposes-dpia-guidelines-shedding-light-on-high-risk-processing/

[1] Art. 35 ust. 3 GDPR zawiera jedynie przykładowy katalog okoliczności, które decydują o konieczności przeprowadzanie oceny skutków dla danych osobowych – stosownie do wytycznych istnieją inne rodzaje operacji, które nie znajdują się wśród wyszczególnionych w art. 35 ust.3 GDPR, ale wiążą się z równie wysokim ryzykiem. Komentarze w ramach konsultacji publicznych można wysyłać na adres e-mail CNiL: presidenceg29@cnil.fr

[2] W tym zakresie rekomendowane jest przyjęcie, że dane są przetwarzane na wielką skalę, jeżeli: (a) liczba podmiotów danych jest znaczna „liczbowo” lub jako proporcja pewnej populacji; (b) ilość danych lub zakres różnych danych jest znaczący; (c) czas przetwarzania jest znaczący; (d) geograficzny zakres przetwarzanych danych jest szeroki.

[3] W takim przypadku ocena skutków może zostać dokonana przez ustawodawcę przed wdrożeniem regulacji prawnych.