DZIŚ

dodaj wiadomość | newsletter | kontakt

RODO. Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych

Informacja o niepełnosprawności, stanie zdrowia, wyznaniu – to przykłady danych wrażliwych. Ich przetwarzanie wymaga zachowania szczególnej ostrożności. W organizacjach pozarządowych takie dane pojawiają się często. Na co muszą w związku z tym uważać organizacje?

Wejście w życie RODO (ogólnego rozporządzenia o ochronie danych) przynosi szereg nowości w dziedzinie ochrony danych osobowych. Od kilku miesięcy staramy się systematycznie przygotować na nie organizacje pozarządowe. Jedną z takich nowości jest konieczność przeprowadzenia analizy ryzyka, o której pisaliśmy w informacji: Nowe zasady ochrony danych osobowych. Analiza ryzyka.

Część organizacji pozarządowych będzie musiała przeprowadzić również OCENĘ skutków swoich działań dla ochrony danych. Najczęstszym powodem konieczności przeprowadzenia oceny będzie w NGO-sach przetwarzanie danych wrażliwych na dużą skalę.


Co to jest ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych?

Ocena skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang. Data Protection Impact Assessment – w skrócie i w dalszej części tekstu: DPIA) nie ma definicji legalnej.  Na podstawie analizy przepisów można jednak wywnioskować, że jest to trzyczęściowy proces, podczas którego następuje: określenie procesu przetwarzania danych mającego wpływ na naruszenie praw lub wolności osób fizycznych, wybór sposobu oceny tego wypływu, oraz dobór adekwatnych środków do minimalizacji negatywnego oddziaływania.

DPIA trzeba wyraźnie odróżnić od ogólnej analizy ryzyka. Przeprowadzenie tej drugiej jest obowiązkiem każdego podmiotu niezależnie od jego wielkości i ilości przetwarzanych danych. Natomiast ocena skutków jest obowiązkowa tylko w przypadkach określonych w art. 35 RODO.

Analizę ryzyka przeprowadzamy bardziej z punktu widzenia procesów dziejących się w organizacji – przyglądamy się uważnie temu, co robimy. W ocenie skutków ważniejsza jest perspektywa osoby, której dane przetwarzamy i szkód, na jakie może zostać narażona.   

Kiedy trzeba przeprowadzić DPIA? Wysokie ryzyko oraz dane wrażliwe przetwarzane na dużą skalę

W ustępie 1 art. 35 RODO wskazana jest przesłanka wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Wniosek, że ryzyko takie występuje może wynikać z charakteru, celu lub kontekstu przetwarzanych danych, szczególnie jeżeli przetwarzane są one przy użyciu nowych technologii. Wniosek taki może wypływać z ogólnej analizy ryzyka (obowiązkowej dla wszystkich), szczególnie gdy któreś z operacji zostały zakwalifikowane jako bardzo ryzykowne. 

art. 35. ust. 1 RODO
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.


RODO wskazuje również wprost przypadki, w których ocena skutków jest obowiązkowa (art. 35 ust. 3 i 4). Należą do nich sytuacje, gdy:

  1. Prezes Urzędu Ochrony Danych Osobowych wyda wykaz rodzajów operacji przetwarzania, co do których DPIA jest obowiązkowe. Obecnie (czerwiec 2018) taki wykaz jest konsultowany;
  2. dane przetwarzane są w sposób zautomatyzowany (bez udziału człowieka), a efektem takiego działania jest podjęcie decyzji wywołujących skutki prawne wobec osoby fizycznej lub decyzji w sposób znaczący na nią wpływających – np. automatyczna kwalifikacja do badań klinicznych;
  3. dane pochodzą z systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie, w szczególności za pomocą urządzeń optyczno-elektronicznych (jak monitoring miejski);
  4. podmiot przetwarza na dużą skalę dane wrażliwe, lub dane o wyrokach skazujących i naruszeniach prawa. 
Dla organizacji pozarządowych istotne znaczenie może mieć ostatnia przesłanka – podmiot przetwarza na dużą skalę dane wrażliwe. Organizacje o charakterze pomocowym często zbierają dane o stanie zdrowia czy informacje na temat bezdomności lub wykluczenia społecznego. Natomiast informacje o naruszeniach prawa będą miały znaczenie dla organizacji zajmujących się pomocom dla ofiar przestępstw lub pomocy postpenitencjarnej.


Co oznacza „duża skala”?
RODO nie doprecyzowuje przesłanki „dużej skali”, pozostawiając to praktyce stosowania i orzecznictwu sądowemu. Pomocne przy interpretacji są wytyczne Grupy Roboczej art. 29 (zalecenia tego ciała mają duże znaczenie dla stosowania RODO) – Wytyczne WP 243 i WP 248. Wytyczne te wskazują, że określając dużą skalę należy wziąć pod uwagę: 

  1. liczbę osób, których dane dotyczą. Chodzi zarówno o samą wielkości (ilości), jak i relację do całej populacji z określoną cechą. Na przykład: organizacja przetwarza dane wszystkich osób w Polsce z rzadką chorobą genetyczną – ich liczba może być niewielka, ale obejmuje całość albo znaczny procent populacji tych osób;
  2. zakres przetwarzanych danych – im więcej danych i im są one bardziej szczegółowe, tym większe ryzyko naruszenia praw i wolności;
  3. zasięg geograficzny – Motyw 91 RODO mówi o przetwarzaniu na „szczeblu regionalnym, krajowym lub ponadnarodowym”;
  4. czas przetwarzania danych – im dłużej dane są przechowywane tym większe ryzyko naruszenia praw. 

Jakie dane to „dane wrażliwe”?
Dane wrażliwe to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, biometryczne zbierane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Artykuł 9 RODO co do zasady zabrania przetwarzania takich danych, chyba że spełnione są określone warunki. 

Jedną z dopuszczalnych przez RODO sytuacji jest zbieranie danych wrażliwych przez organizacje pozarządowe. Przepisy pozwalają na to jeśli: „przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą”(art. 9 ust. 2 lit. d).


Kiedy przeprowadzić DPIA cd. Obszary, w których przetwarzanie danych wymaga szczególnej uwagi

Wytyczne Grupy 29 wskazują przesłanki, których wystąpienie może wskazywać na konieczność przeprowadzenie DPIA. Są to: 

  1. działania mające na celu prognozowanie zachowań lub tworzenie profili, w tym tworzące rankingi;
  2. łączenie zbiorów danych lub operacje mające na celu porównanie danych w co najmniej dwóch zbiorach;
  3. przetwarzanie danych osób defaworyzowanych z jakiegoś powodu (np.: dzieci – ze względu na ograniczoną możliwość świadomego podejmowania decyzji, pacjentów ze względu na przymusowość sytuacji leczenia);
  4. transfer danych poza terytorium Unii Europejskiej;
  5. przetwarzanie danych, którego efektem jest brak możliwości skorzystania przez zainteresowaną osobę z usługi lub umowy. 

Wytyczne formułują postulat, zgodnie z którym im większa ilość spełnionych przesłanek, tym większe ryzyko, że dany proces będzie wymagał oceny skutków działań. Jako bezpieczną granicę wskazano spełnianie dwóch przesłanek. Grupa 29 przyjęła założenie, że taki proces będzie charakteryzował się niskim ryzykiem naruszenia praw i wolności osób, których dane są przetwarzane.

Jeżeli więc niewielkie stowarzyszenie działające na rzecz osób niepełnosprawnych przetwarza dane o rodzaju dysfunkcji (dane wrażliwe), a dane w oczywisty sposób dotyczą osób defaworyzowanych to spełnione są dwie przesłanki ze wskazanych powyżej. Zatem zasadniczo nie ma konieczności przeprowadzania oceny skutków działań – ryzyko jest niskie. Jednak gdy zbieranie tych danych będzie połączone z automatycznym profilowaniem w celu uzyskania rehabilitacji, to trzeba będzie przeprowadzić proces oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. 


Kiedy nie trzeba przeprowadzać DPIA?

W RODO wskazano też warunki, których spełnienie powoduje brak konieczności przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Można wyróżnić pięć sytuacji zwalniających z konieczności przeprowadzania DPIA. 

  1. zawarta w artykule 35 ust. 1 przesłanka braku ryzyka naruszenia praw lub wolności osób, których dane dotyczą. To, czy takie ryzyko istnieje, będzie wynikać z ogólnej analizy ryzyka;
  2. sytuacja, w której określony proces przetwarzania jest bardzo podobny do takiego, w stosunku do którego DPIA zostało już przeprowadzone. Ma to na celu unikanie multiplikowania pracy. Należy jednak pamiętać, że zgodnie z zasadą rozliczalności odpowiedzialność za udowodnienie tego faktu spoczywa na administratorze danych;
  3. kiedy istnieje przepis prawa krajowego lub Unii Europejskiej, który reguluje daną operację przetwarzania, a oceny skutków dla ochrony danych dokonano na etapie legislacyjnym. Obecnie (czerwiec 2018) nie ma takich przepisów, ale należy się spodziewać, że wkrótce pojawią się odpowiednie unormowania;
  4. wydanie przez organ nadzoru wykazu operacji przetwarzania, które nie podlegają wymogowi dokonania oceny. Obecnie (czerwiec 2018) nie ma takiego wykazu;
  5. przetwarzanie danych osobowych pacjentów lub klientów dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika (przypadek opisany w Motywie 91 RODO). 


Jak powinna wyglądać ocena skutków działań?

RODO nie daje gotowego rozwiązania dotyczącego zakresu oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W artykule 35 ust. 7 możemy znaleźć jednak minimalny zakres takiej oceny. Zgodnie z tym przepisem powinna zawierać ona:

  1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych.

Należy pamiętać, że to minimalne wymogi, a więc pełen zakres oceny może być szerszy.

Pomocą przy prowadzeniu oceny skutków działań są trzy źródła:

  1. Pierwszym są wytyczne Grupy 29, w szczególności: Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk” for the purposes of Regulation 2016/679 (zobacz wersję wytycznych z 4.10.2017 w j. polskim – plik pochodzi z serwisu ec.europa.eu).

    Wytyczne te są dostępne nieodpłatnie i wskazują miedzy innymi na konieczność dokumentowania oceny skutków oraz stałe monitorowanie i okresowy przegląd. Zalecają również publikowanie przynajmniej streszczenia z oceny. Należy to potraktować jako zalecenie dobrej praktyki, ponieważ obowiązek publikacji nie wynika z przepisów RODO.
     
  2. Drugim źródłem są normy ISO/IEC. Szczególnie istotna jest norma ISO/IEC 29134. Została ona stworzona dla ustandaryzowania procesu szacowania oceny skutków. Zawiera również wzór struktury raportu. Pomocna może być również PN-ISO/IEC 29100:2017-07, która dotyczy określania ram prywatności, czyli podstawowych wymogów, jakie powinno spełniać zachowanie administratora, aby spełniało warunki ochrony prywatności jednostki. Warto pamiętać, że normy ISO są objęte prawem autorskim, a korzystanie z nich co do zasady wymaga uzyskania odpłatnej licencji.
     
  3. Trzecim źródłem jest narzędzie udostępnione przez CNIL, który jest francuskim odpowiednikiem Urzędu Ochrony Danych Osobowych. Służy ono przygotowaniu pomocy w przygotowaniu DPIA poprzez ustrukturyzowane procesu i udostępnienie wskazówek, jak go przeprowadzić. Oprogramowanie jest darmowe i dystrybuowane jako open source, a także dostępne w różnych wersjach językowych i na różne platformy sprzętowe.

    Program dostępny jest pod adresem: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment.

 

zobacz koniecznie w PORADNIK.NGO.PL:
RODO w organizacji pozarządowej w 10 krokach


Jak przestrzegać prawa w NGO, jakie przepisy są ważne dla NGO – dowiesz się w serwisie poradnik.ngo.pl.



Poznaj ofertę SCWO: warszawa.ngo.pl/scwo


Uwaga! Przedruk, kopiowanie, skracanie, wykorzystanie tekstów (lub ich fragmentów) publikowanych w portalu www.ngo.pl w innych mediach lub w innych serwisach internetowych wymaga zgody Redakcji portalu!

SKOMENTUJ

Uwaga, komentarz pojawi się na liście dopiero po uzyskaniu akceptacji moderatora.


KOMENTARZE

Nie ma żadnych komentarzy
Redakcja www.ngo.pl nie ponosi odpowiedzialności za treść komentarzy.