W dniu 25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: „RODO”). Akt ten nałożył na administratorów nowe obowiązki. Jednym z takich obowiązków jest przeprowadzanie analizy ryzyka naruszenia danych osobowych. Przedmiotem niniejszego artykułu jest wyjaśnienie, kiedy przeprowadzenie analizy ryzyka naruszenia danych osobowych jest konieczne.
Słowo wstępu – motywy RODO
Ryzyko naruszenia praw bądź wolności osób fizycznych może wynikać z przetwarzania danych osobowych skutkującym uszczerbkiem fizycznym bądź szkodą majątkową lub niemajątkową (np. dyskryminacja, kradzież tożsamości, starta finansowa, naruszenie dobrego imienia itp.).
Jak wskazano w jednym z motywów RODO prawdopodobieństwo i wagę ryzyka wystąpienia naruszenia praw osób fizycznych określa się poprzez wskazanie charakteru, zakresu, kontekstu czy celów przetwarzania.
Ryzyko naruszenia praw bądź wolności osób fizycznych powinno zostać oszacowane na podstawie obiektywnej oceny.
Obowiązki administratora danych osobowych
RODO wprowadza m.in. nowe obowiązki ciążące na administratorów danych oraz nową dokumentację, którą administratorzy i podmioty przetwarzające winny wdrożyć celem wypełnienia postanowień RODO.
Do obowiązków administratora danych osobowych zgodnie z RODO należą m. in.:
- wdrażanie odpowiednich środków technicznych i organizacyjnych w celu przetwarzania danych osobowych zgodnie z RODO;
- powołanie inspektora ochrony danych osobowych;
- wykonywania praw osób, których dane osobowe dotyczą;
- prowadzenia rejestru czynności przetwarzania danych osobowych;
- przeprowadzenia analizy ryzyka naruszenia danych osobowych, itp.
Ocena skutków dla ochrony danych osobowych
Jednym z obowiązków nałożonych na administratorów jest przeprowadzenie analizy ryzyka naruszenia danych osobowych, zwane również jako oceną skutków dla ochrony danych osobowych.
Ocenę skutków dla ochrony danych osobowych przeprowadza się, gdy dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw osób fizycznych (np. użycie nowych technologii).
Administrator dokonuje oceny skutków dla ochrony danych osobowych przed rozpoczęciem przetwarzania.
Okoliczności, gdy ocena skutków jest wymagana
Oceny skutków dla ochrony danych osobowych dokonuje się m. in., gdy:
- zachodzi zautomatyzowane przetwarzanie (np. profilowanie) stanowiące podstawę wydania decyzji;
- szczególne kategorie danych są przetwarzane na dużą skalę;
- zachodzi monitorowanie miejsc publicznych na dużą skalę.
Elementy oceny
Analiza ryzyka dla ochrony danych osobowych zawiera co najmniej:
- opis planowanych operacji przetwarzania i ich celów;
- ocenę czy operacje te są niezbędne i proporcjonalne do celów;
- ocenę ryzyka naruszenia praw osób, których dane dotyczą;
- środki zaradcze.
Wyłączenie z zakresu przeprowadzenia oceny
Administrator nie musi przeprowadzać oceny skutków dla ochrony danych osobowych, jeżeli przetwarzanie przez niego dane osobowe ma podstawę w wypełnieniu obowiązku na nim ciążącego bądź jest ono niezbędne do wykonania zadania realizowanego w interesie publicznym, a jednocześnie prawo Unii lub państwa członkowskiego, któremu podlega administrator reguluje tą operację przetwarzania. Warunek taki jest jednak spełniony, gdy ocena skutków dla ochrony danych osobowych została dokonana przy okazji przyjmowania przez ustawodawcę takiej podstawy prawnej.
Wykaz rodzaju operacji
Prezes Urzędu Ochrony Danych Osobowych dnia 24 sierpnia 2018 r. ogłosił wykaz rodzajów operacji przetwarzania danych osobowych, które w ocenie organu nadzorczego wymagają przeprowadzenia oceny skutków dla ochrony danych osobowych. W wykazie tym znalazły się m. in. następujące rodzaje operacji:
- profilowanie użytkowników portali społecznościowych;
- ocena zdolności kredytowej;
- systemy monitoringu w miejscach publicznym (np. zarządzanie ruchem);
- systemy monitorowania czasu pracy pracowników;
- przetwarzanie danych biometrycznych, itp.
Podsumowanie
Jednym z obowiązków nałożonych na administratorów jest przeprowadzenie analizy ryzyka naruszenia danych osobowych przed rozpoczęciem takiego przetwarzania. Jest ono wymagane, gdy dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw osób fizycznych (np. dokonywanie oceny zdolności kredytowej przez banki i inne instytucje finansowe).
Powrót do specjalizacji — Szkolenie RODO