Autor tekstu: Aleksandra Eluszkiewicz
Co się zmienia?
W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA).
Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu 8 lipca 2019 r. w Monitorze Polskim. Jakie operacje przetwarzania zdaniem UODO wymagają dokonania takiej oceny można przeczytać w Komunikacie: http://monitorpolski.gov.pl/MP/2019/666
Przypominamy
PUODO, na mocy przepisów RODO, ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania DPIA. Kwestie związane z oceną skutków dla ochrony danych zostały uregulowane w art. 35 RODO.
Czym jest więc ta ocena? Co prawda brak w RODO definicji tego pojęcia, jednak w jego wyjaśnieniu pomocny może być motyw 90 Preambuły RODO a także Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 wydane przez Grupę Roboczą Art. 29 (Wytyczne WP 248).
Według Grupy Roboczej Art. 29 (Wytyczne WP 248, s. 4) jest „to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i ustalając środki mające mu zaradzić)”. Natomiast według motywu 90 Preambuły RODO, DPIA ma służyć ocenie konkretnego prawdopodobieństwa i powagi wysokiego ryzyka przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych oraz źródeł ryzyka. Przeprowadzając taką ocenę administrator powinien wziąć pod uwagę planowane środki, zabezpieczenia, mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie przepisów dotyczących ochrony danych osobowych.
Dokonanie oceny skutków dla ochrony danych osobowych może być obowiązkowe (obligatoryjne) lub fakultatywne. Przepisy RODO wskazują również kiedy nie trzeba dokonywać takiej oceny. W przypadku gdy administrator decyduje się (bo jest np. do tego zobligowany) na przeprowadzenie DPIA, to takiej oceny powinien dokonać jeszcze przed rozpoczęciem przetwarzania danych osobowych. Nie zwalnia to oczywiście administratora z obowiązku kontrolowania aktualności takiej oceny i w razie konieczności jej aktualizowania – zdaniem Grupy Roboczej Art. 29 nie jest to bowiem czynność jednorazowa, a ciągły proces. Dokonując takiej oceny administrator powinien współpracować z Inspektorem Ochrony Danych w sytuacji, gdy go wyznaczył.
Dlaczego warto dokonać takiej oceny albo chociaż rozważyć jej dokonanie? Z punktu widzenia przetwarzania danych osobowych przeprowadzenie DPIA może być bardzo istotne, gdyż:
– po pierwsze: do jej przeprowadzenia może obligować RODO,
– po drugie: mimo braku zaistnienia przesłanek obligujących do dokonania DPIA, jej przeprowadzenie może być uzasadnione z uwagi na szczególny charakter przetwarzania danych, wykonywanych operacji, zastosowanej technologii itp.,
– po trzecie: dokonanie oceny może pomóc administratorowi określić jakie środki techniczne i organizacyjne powinien zapewnić i zastosować by przetwarzanie danych osobowych było zgodne z przepisami RODO,
– po czwarte: wszelkie dokonane oceny skutków pomagają administratorowi wykazać, że przestrzega zasad określonych w RODO i przetwarza dane osobowe zgodnie z obowiązującym prawem – taka ocena sprzyja więc wywiązywaniu się z zasady rozliczalności i zasady przejrzystości.
