Art. 35 ust. 4 RODO* wprowadza nową, dotychczas nieznaną w polskim systemie prawnym, czynność. Chodzi o ocenę skutków planowanych operacji dla ochrony danych osobowych ((z ang. Data Protection Impact Assessment, DPIA). Administrator danych musi jej dokonać, jeżeli przetwarzanie - w szczególności z użyciem nowych technologii - może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W czym rzecz?
Analiza systemów
Dr. Łukasz Olejnik, badacz i konsultant cyberbezpieczeństwa i prywatności, tłumaczy, że ocena skutków dla ochrony danych przewiduje precyzyjną i rzetelną analizę systemów i rozwiązań. - Oznacza to m.in. identyfikację punktów ryzyka, a często następnie ich definicję i opis. Punkty ryzyka podlegają priorytetyzacji. Przeprowadzanie DPIA to też dobry moment na wybór rozwiązań zmniejszających ryzyko. Istotnym problemem w DPIA jest jego dopasowanie do konkretnego zagadnienia. W praktyce proces ten wygląda inaczej dla różnych zastosowań, np. dla aplikacji mobilnej podejście różni się od tego dla systemu przetwarzającego dane przy kampanii wyborczej dla konkretnej partii politycznej, czy też w przypadku systemów zarządzania sieciami energetycznymi – tłumaczy dr Łukasz Olejnik.
Szczegółowa lista
GIODO, aby ułatwić administratorom przygotowania do RODO, opracował wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie DPIA. Na liczącej pięć stron liście GIODO wyróżnił 10 rodzajów operacji i podał blisko 40 konkretnych przykładów operacji wymagających przeprowadzenia DPIA.
Zdaniem Łukasza Olejnika, sama propozycja GIODO może zaskakiwać szczegółowością. - Trzeba jednak pamiętać, że wykaz ten nie wyczerpuje wszystkich rodzajów systemów, powinna stanowić jedynie punkt odniesienia, bo odpowiedzialność ponosi zawsze administrator danych – podkreśla Łukasz Olejnik.
Wśród przykładów operacji wymagających przeprowadzenia DPIA ważnych z punktu widzenia prowadzących firmy znalazły się m.in.:
- systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, ustalanie cen promocyjnych w oparciu o profil;
- gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym zintegrowanych z ubiorem;
- gromadzenie danych dotyczących zdrowia pacjentów/klientów przez szpitale, organizacje prowadzące badania kliniczne czy kluby fitness;
- przetwarzanie danych z dużą częstotliwością umożliwiającą obserwację stylu życia, przemieszczania się w terenie, intensywności korzystania z mediów, energii itp. (np. danych geolokalizacyjnych, danych z liczników pomiarowych o zużywanej energii, danych billingowych dotyczących komunikacji elektroniczne itp.);
- usługi przetwarzania w chmurze do zarządzania dokumentami osobistymi, usługi poczty elektronicznej, kalendarze, e-czytniki wyposażone w funkcje robienia notatek oraz różne aplikacje typu „life-logging”, które mogą zawierać informacje o bardzo osobistym charakterze, a ich ujawnienie lub przetwarzanie do celów innych niż czynności o charakterze domowym może być uznane za bardzo ingerujące;
- tworzenie profili klientów ze zbiorów danych pochodzących z różnych źródeł przez firmy marketingowe;
- przetwarzanie danych przez serwisy oferujące pracę prowadzące do dopasowania ofert do określonych preferencji pracodawców.
Maciej Kawecki, dyrektor departamentu zarządzania danymi w Ministerstwie Cyfryzacji, koordynator reformy ochrony danych osobowych szczególną uwagę zwrócił „przetwarzanie danych spoza zbioru określonego w Kodeksie pracy na podstawie zgody pracownika”.
- GIODO po raz pierwszy uznał bowiem, że mogą wystąpić przypadki, gdy możliwe będzie zgodne z prawem odebranie od pracownika zgody na przetwarzanie jego danych. Nawet wtedy jednak konieczne jest dokonanie oceny skutków - pisze Kawecki na swoim profilu na LinkedIn.
Druga lista w przygotowaniu
Wspomniany już art. 35 ust. 5 RODO daje organowi nadzorczemu również możliwość ustanowienia i podania do publicznej wiadomości wykazów rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. I GIODO rozważa również przygotowanie takiej listy. W jego opinii może być ona pomocna administratorom i podmiotom przetwarzającym w podjęciu decyzji co do konieczności dokonywania oceny skutków dla ochrony danych. Taka lista ma się pojawić nie później niż 25 maja 2018 r. Do końca kwietnia zaś GIODO czeka na opinie w sprawie wykazu czyności wymagających przeporwadzenia DPIA.
Na portalach społecznościowych pojawiły się jednak głosy ekspertów, że to za późno. Podkreślają, że oni już teraz potrzebują wytyczne, by wiedzieć, czy przeprowadzać DPIA.
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.