Analiza ryzyka naruszenia danych osobowych

W dniu 25 maja 2018 r. weszło w życie Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 (dalej: „RODO”). Akt ten nało­żył na admi­ni­stra­to­rów nowe obo­wiąz­ki. Jed­nym z takich obo­wiąz­ków jest prze­pro­wa­dza­nie ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych. Przed­mio­tem niniej­sze­go arty­ku­łu jest wyja­śnie­nie, kie­dy prze­pro­wa­dze­nie ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych jest konieczne.

Słowo wstępu – motywy RODO

Ryzy­ko naru­sze­nia praw bądź wol­no­ści osób fizycz­nych może wyni­kać z prze­twa­rza­nia danych oso­bo­wych skut­ku­ją­cym uszczerb­kiem fizycz­nym bądź szko­dą mająt­ko­wą lub nie­ma­jąt­ko­wą (np. dys­kry­mi­na­cja, kra­dzież toż­sa­mo­ści, star­ta finan­so­wa, naru­sze­nie dobre­go imie­nia itp.). 

Jak wska­za­no w jed­nym z moty­wów RODO praw­do­po­do­bień­stwo i wagę ryzy­ka wystą­pie­nia naru­sze­nia praw osób fizycz­nych okre­śla się poprzez wska­za­nie cha­rak­te­ru, zakre­su, kon­tek­stu czy celów przetwarzania. 

Ryzy­ko naru­sze­nia praw bądź wol­no­ści osób fizycz­nych powin­no zostać osza­co­wa­ne na pod­sta­wie obiek­tyw­nej oceny.

Obowiązki administratora danych osobowych

RODO wpro­wa­dza m.in. nowe obo­wiąz­ki cią­żą­ce na admi­ni­stra­to­rów danych oraz nową doku­men­ta­cję, któ­rą admi­ni­stra­to­rzy i pod­mio­ty prze­twa­rza­ją­ce win­ny wdro­żyć celem wypeł­nie­nia posta­no­wień RODO.

Do obo­wiąz­ków admi­ni­stra­to­ra danych oso­bo­wych zgod­nie z RODO nale­żą m. in.:

  1. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych w celu prze­twa­rza­nia danych oso­bo­wych zgod­nie z RODO;
  2. powo­ła­nie inspek­to­ra ochro­ny danych osobowych;
  3. wyko­ny­wa­nia praw osób, któ­rych dane oso­bo­we dotyczą;
  4. pro­wa­dze­nia reje­stru czyn­no­ści prze­twa­rza­nia danych osobowych;
  5. prze­pro­wa­dze­nia ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych, itp.

Ocena skutków dla ochrony danych osobowych

Jed­nym z obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­rów jest prze­pro­wa­dze­nie ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych, zwa­ne rów­nież jako oce­ną skut­ków dla ochro­ny danych osobowych.

Oce­nę skut­ków dla ochro­ny danych oso­bo­wych prze­pro­wa­dza się, gdy dany rodzaj prze­twa­rza­nia z dużym praw­do­po­do­bień­stwem może powo­do­wać wyso­kie ryzy­ko naru­sze­nia praw osób fizycz­nych (np. uży­cie nowych technologii).

Admi­ni­stra­tor doko­nu­je oce­ny skut­ków dla ochro­ny danych oso­bo­wych przed roz­po­czę­ciem przetwarzania. 

Okoliczności, gdy ocena skutków jest wymagana

Oce­ny skut­ków dla ochro­ny danych oso­bo­wych doko­nu­je się m. in., gdy:

  1. zacho­dzi zauto­ma­ty­zo­wa­ne prze­twa­rza­nie (np. pro­fi­lo­wa­nie) sta­no­wią­ce pod­sta­wę wyda­nia decyzji;
  2. szcze­gól­ne kate­go­rie danych są prze­twa­rza­ne na dużą skalę;
  3. zacho­dzi moni­to­ro­wa­nie miejsc publicz­nych na dużą skalę.

Elementy oceny

Ana­li­za ryzy­ka dla ochro­ny danych oso­bo­wych zawie­ra co najmniej:

  1. opis pla­no­wa­nych ope­ra­cji prze­twa­rza­nia i ich celów;
  2. oce­nę czy ope­ra­cje te są nie­zbęd­ne i pro­por­cjo­nal­ne do celów;
  3. oce­nę ryzy­ka naru­sze­nia praw osób, któ­rych dane dotyczą;
  4. środ­ki zaradcze.

Wyłączenie z zakresu przeprowadzenia oceny

Admi­ni­stra­tor nie musi prze­pro­wa­dzać oce­ny skut­ków dla ochro­ny danych oso­bo­wych, jeże­li prze­twa­rza­nie przez nie­go dane oso­bo­we ma pod­sta­wę w wypeł­nie­niu obo­wiąz­ku na nim cią­żą­ce­go bądź jest ono nie­zbęd­ne do wyko­na­nia zada­nia reali­zo­wa­ne­go w inte­re­sie publicz­nym, a jed­no­cze­śnie pra­wo Unii lub pań­stwa człon­kow­skie­go, któ­re­mu pod­le­ga admi­ni­stra­tor regu­lu­je tą ope­ra­cję prze­twa­rza­nia. Waru­nek taki jest jed­nak speł­nio­ny, gdy oce­na skut­ków dla ochro­ny danych oso­bo­wych zosta­ła doko­na­na przy oka­zji przyj­mo­wa­nia przez usta­wo­daw­cę takiej pod­sta­wy prawnej. 

Wykaz rodzaju operacji

Pre­zes Urzę­du Ochro­ny Danych Oso­bo­wych dnia 24 sierp­nia 2018 r. ogło­sił wykaz rodza­jów ope­ra­cji prze­twa­rza­nia danych oso­bo­wych, któ­re w oce­nie orga­nu nad­zor­cze­go wyma­ga­ją prze­pro­wa­dze­nia oce­ny skut­ków dla ochro­ny danych oso­bo­wych. W wyka­zie tym zna­la­zły się m. in. nastę­pu­ją­ce rodza­je operacji:

  1. pro­fi­lo­wa­nie użyt­kow­ni­ków por­ta­li społecznościowych;
  2. oce­na zdol­no­ści kredytowej;
  3. sys­te­my moni­to­rin­gu w miej­scach publicz­nym (np. zarzą­dza­nie ruchem);
  4. sys­te­my moni­to­ro­wa­nia cza­su pra­cy pracowników;
  5. prze­twa­rza­nie danych bio­me­trycz­nych, itp.

Podsumowanie

Jed­nym z obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­rów jest prze­pro­wa­dze­nie ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych przed roz­po­czę­ciem takie­go prze­twa­rza­nia. Jest ono wyma­ga­ne, gdy dany rodzaj prze­twa­rza­nia z dużym praw­do­po­do­bień­stwem może powo­do­wać wyso­kie ryzy­ko naru­sze­nia praw osób fizycz­nych (np. doko­ny­wa­nie oce­ny zdol­no­ści kre­dy­to­wej przez ban­ki i inne insty­tu­cje finansowe).

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO

Masz pyta­nia lub wątpliwości?

Zadzwoń

+48 22 489 52 65

Ocena 

Śred­nia oce­na: 5 / 5. Licz­ba gło­sów: 1