Dokonanie oceny skutków przetwarzania dla ochrony danych osobowych

Dokonanie oceny skutków przetwarzania dla ochrony danych osobowych

Rozporządzenie ogólne dotyczące ochrony danych osobowych, które będzie stosowane od 25 maja 2018 r. (dalej jako RODO), wprowadza nieznaną dotychczas instytucję – dokonania oceny skutków przetwarzania dla ochrony danych osobowych. 

Zgodnie z treścią art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Jeżeli w danym podmiocie został powołany inspektor ochrony danych (obecnie Administrator bezpieczeństwa informacji), Administrator danych osobowych przy dokonywaniu oceny skutków powinien skonsultować się z nim w tym zakresie. 

W RODO jednocześnie wskazano, że ocena skutków dla ochrony danych osobowych wymagana jest w szczególności w przypadku:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (np. przedsiębiorstwo tworzące profile behawioralne lub marketingowe w oparciu o zakres korzystania ze strony internetowej);
  • przetwarzania na dużą skalę danych wrażliwych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa (np. sądy, szpitale);
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (np. monitoring miejski, przedsiębiorstwo monitorujące działania swoich pracowników, w tym stanowiska pracy pracowników, działania w Internecie).

Organy europejskie wydały Wytyczne dotyczące oceny skutków dla ochrony danych, w których zaleca się dokonanie oceny skutków dla operacji przetwarzania już trwających przed 25 maja 2018 r. Jednak należy wskazać, że zdaniem europejskich organów ochrony danych, przeprowadzenie oceny skutków dla ochrony danych jest niezbędne dopiero dla operacji prowadzonych po 25 maja 2018 r. lub operacji, które zostały znacząco zmienione

Przesłanki wskazane w RODO są dość ogólne, nieprecyzyjne, dlatego też każdorazowo należy ocenić, czy dany podmiot powinien dokonać oceny skutków dla ochrony danych osobowych. Ocena skutków jest jednym z podstawowych elementów zapewnienia zgodności z przepisami RODO, a jego realizacja wymaga dokonania analizy wszystkich procesów przetwarzania danych osobowych u danego Administratora danych osobowych, w szczególności z uwzględnieniem ryzyka związanego z przetwarzaniem tych danych.

W przypadku, gdy przeprowadzona ocena skutków dla ochrony danych osobowych wykaże, że operacje przetwarzania powodują wysokie ryzyko dla ochrony tych danych, którego Administrator danych osobowych nie jest w stanie zminimalizować odpowiednimi środkami z punktu widzenia dostępnej technologii i kosztów wdrożenia, przed rozpoczęciem przetwarzania należy skonsultować się z organem nadzorczym. Organ nadzorczy może przedstawić Administratorowi danych osobowych pisemne zalecenia, do których powinien się zastosować, aby móc przetwarzać określone kategorie danych osobowych. Jeżeli się do nich nie zastosuje, organ nadzorczy może wydać decyzję zakazującą przetwarzania takich danych osobowych.

Za niedokonanie tej oceny lub niedokonanie jej przy uwzględnieniu uprzednich konsultacji z organem nadzorczym, może grozić nałożenie administracyjnej karze pieniężnej w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa oraz zakaz dalszego przetwarzania tych danych osobowych.

Zobacz również: