Najprostsze narzędzie do przeprowadzenia oceny skutków przetwarzania (DPIA)

Ocena skutków przetwarzania jest elementem kluczowym dla zgodności systemu ochrony danych osobowych z RODO. Jednak narzędzia do jej przeprowadzania są z reguły bardzo skomplikowane i pracownicy nawet po przeszkoleniu mają problem z przeprowadzaniem DPIA. Dodatkowo w praktyce najskuteczniejszym narzędziem realizacji domyślnej ochrony danych osobowych jest właśnie narzędzie do DPIA połączone z procedurą jego uruchamiania.

Cztery elementy DPIA

Zgodnie z wytyczną grupy roboczej art. 29 (WP248) określone zostały 4 główne kryteria dopuszczalności narzędzia do przeprowadzenia DPIA. Innymi słowy nie uwzględnienie któregokolwiek z kryterium lub jego niewystarczające uwzględnienie spowoduje wadliwość DPIA.

  • zapewniono systematyczny opis operacji przetwarzania (art. 35 ust. 7 lit. a),
  • oceniono niezbędność oraz proporcjonalność (art. 35 ust. 7 lit. b),
  • przeprowadzono działania w zakresie zarządzania ryzykiem naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c),
  • zaangażowano zainteresowane strony (art. 35 ust. 2 i 9),

1. Systematyczny opis operacji przetwarzania

Opis operacji przetwarzania to nic innego jak kontekst procesu przetwarzania danych osobowych. W praktyce ten element DPIA powinien uwzględniać rozpoczęcie przetwarzania, przebieg przetwarzania oraz zakończenie przetwarzania danych osobowych. Dodatkowo zakres danych, czyli pola informacyjne przetwarzane w procesie takie jak imiona i nazwiska, nr telefonów, adresy pracy etc. Ostatecznie cel lub cele przetwarzania danych osobowych jeżeli jest ich więcej niż jeden. Obszar ten wymaga dodatkowo identyfikacji zasobów wykorzystywanych w procesie, czyli np. komputery, personel, budynki etc.

2. Ocena niezbędności oraz proporcjonalności

Drugim elementem DPIA jest ocena realizacji zasad ogólnych RODO procesie, czyli celowość, legalność, adekwatność i ograniczenie czasowe. Dodatkowo ocena realizacji praw osób, których dane dotyczą w zakresie obowiązku informacyjnego, dostępu do danych, przenoszenia danych, sprostowania danych, ograniczenia przetwarzania, usuwania danych, składania sprzeciwu wobec przetwarzania danych. Ostatecznie trzy elementy muszą podlegać weryfikacji tj. zabezpieczanie danych przez procesów, przesył danych poza EOG i konsultacje z organem nadzorczym.

3. Zarządzanie ryzykiem naruszenia praw i wolności osób

Trzeci obowiązkowy element DPIA to analiza ryzyka wystąpienia zagrożeń wobec osoby. Na tym etapie musimy uwzględnić zagrożenia, prawdopodobieństwo ich wystąpienia, skutek ich wystąpienia. Ostatecznie w wyniku analizy ryzyka przygotowano plan postępowania z ryzykiem.

4. Zaangażowanie zainteresowanych stron

Ostatnim obowiązkowym elementem DPIA jest ocena zaangażowania IOD w proces przeprowadzania DPIA, czyli w praktyce czy sprawdził on cały proces przeprowadzania DPIA oraz jeżeli jest to uzasadnione czy zwrócono się do osób których dane dotyczą o konsultację w zakresie procesu przetwarzania danych osobowych.

"Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych..."

Art. 35 RODO

"Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania..."

Art. 25 RODO
Podobieństwa oceny skutków przetwarzania i domyślnej ochrony danych.
Porównanie DPIA i Privacy by design

Podsumowanie

Podsumowując jeżeli uwzględnimy wszystkie powyższe elementy w naszym narzędziu do przeprowadzania DPIA to będzie ono przeprowadzone zgodnie z RODO. Oczywiście możemy uwzględnić również inne elementy w trakcie przeprowadzania DPIA jednak na potrzeby artykułu skupiamy się na niezbędnym minimum.

Konrad Gałaj-Emiliańczyk

Konrad Gałaj-Emiliańczyk

Ekspert ds. ochrony danych
tel. 514 747 434
mail. kontakt@chron-dane.eu