Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Ocena skutków
dla ochrony danych (DPIA)

Ocena skutków dla ochrony danych DPIA

Choć może wydawać się trudna, ocena skutków dla ochrony danych (DPIA) to jedna z głównych wartości dodanych przez RODO. Dokonując jej, stawiamy się na miejscu osoby, której dane dotyczą i analizujemy, co złego może się stać w wyniku nieprawidłowego przetwarzania danych osobowych. Dzięki temu wiemy, jak zmniejszyć ryzyko incydentów, poprzez zastosowanie adekwatnych środków ochrony danych.

Poniżej odpowiadamy, czym jest DPIA, kiedy i jak jej dokonywać a także udostępniamy przykładowy formularz, za pomocą którego przeprowadzą Państwo ocenę skutków dla ochrony danych w swojej organizacji.

Czym jest DPIA? Udostępniamy formularz umożliwiający jego przeprowadzenie.

  • DPIA to proces, którego produktem jest ocena, czy przy przetwarzaniu danych osobowych występuje ryzyko naruszenia praw osób, których dane dotyczą. Przykładowe naruszenia to kradzież tożsamości, dyskryminacja, szkoda finansowa, szkoda wizerunkowa i naruszenie tajemnicy zawodowej (patrz motyw 85 preambuły RODO).
  • DPIA dokonuje się dla procesów przetwarzania danych, takich jak rekrutacja, newsletter czy monitoring. Ocena obejmuje wszystkie operacje przetwarzania w danym procesie – od momentu pozyskania danych, do ich archiwizacji lub zniszczenia.

Szablon DPIA
Udostępniony przez nas szablon składa się z dwóch arkuszy. Jeden z nich jest już przykładowo uzupełniony dla procesu "Rekrutacja", drugi jest pusty dla procesów występujących w Państwa organizacjach.
Pobierz

Kiedy dokonywać DPIA?

Zgodnie z wytycznymi Grupy Roboczej Art. 29. dotyczącymi oceny skutków dla ochrony danych (WP 248), DPIA, co do zasady, dokonuje się, jeżeli w procesie przetwarzania danych występują przynajmniej dwa z poniższych czynników zwiększających prawdopodobieństwo naruszeń. Więcej przykładów znajdziesz w opublikowanym przez Prezesa UODO, Proponowanym wykazie rodzajów operacji przetwarzania z art. 35 ust. 4.

Czynniki zwiększające prawdopodobieństwo naruszeń Przykłady operacji przetwarzania
Ocena lub punktacja.
  • Ocena kandydatów do pracy.
  • Ocena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji i żądania ujawnienia danych nie mających bezpośredniego związku z oceną zdolności kredytowej.
  • Ocena stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych w celu np. podwyższenia im ceny składki ubezpieczeniowej, na podstawie tej oceny, nazywana ogólnie optymalizacją składki ubezpieczeniowej.
Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku.
  • Automatyczne naliczanie prowizji lub wynagrodzenia, w zależności od naliczonych wyników pracy (np. pokonanych kilometrów).
  • Systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych, automatycznego ustalania cen promocyjnych w oparciu o profil.
Systematyczne monitorowanie.
  • Systemy monitorowania czasu pracy pracowników oraz wykorzystywanych przez nich narzędzi (poczty elektronicznej, internetu).
  • Rozbudowane systemy monitoringu przestrzeni publicznej umożliwiające śledzenie osób i pozyskiwanie danych wykraczających poza dane niezbędne do świadczenia usługi.
Dane wrażliwe lub dane o charakterze wysoce osobistym.
  • Wykorzystanie odcisków palców (danych biometrycznych) do kontroli wejść i wyjść do chronionych pomieszczeń.
  • Przetwarzanie przez organy państwowe lub podmioty prywatne danych osobowych dotyczących przynależności partyjnej i/lub preferencji wyborczych.
Dane przetwarzane na dużą skalę.
  • Portale z dużą liczbą użytkowników, takie jak media społecznościowe, sklepy internetowe.
  • Zbieranie danych w szerokim zakresie o przeglądanych stronach internetowych, realizowanych zakupach, oglądanych programach telewizyjnych lub radiowych, itp.
Dopasowywanie lub łączenie zbiorów danych.
  • Kupno marketingowych baz danych.
  • Zbieranie danych o przeglądanych stronach, wykonywanych operacjach bankowych, zakupach w sklepach internetowych a następnie ich analiza w celu tworzenia profilu osoby.
  • Tworzenie profili osób ze zbiorów danych pochodzących z różnych źródeł (łączenie zbiorów) dokonywane przez np. firmy marketingowe w celach doskonalenia i rozszerzania profili potencjalnych klientów, firmy obsługujące programy lojalnościowe.
Przetwarzanie danych przez podmioty, które dysponują uprawnieniami władczymi lub oceniającymi.
  • Usługi i interaktywne zabawki oferowane dzieciom.
  • Systemy służące do zgłaszania nieprawidłowości (związanymi np. z korupcją, mobbingiem) – w szczególności, gdy przetwarzane są w nim dane pracowników.
Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych.
  • Wykorzystanie tzw. Internetu rzeczy, tj. urządzeń, które mogą przetwarzać i przesyłać dane osobowe, w tym nagrywać dźwięk czy rejestrować obraz. Są to m.in. smartwatche, drony.
  • Systemy analizy i przetwarzania danych znajdujących się w metadanych, np. zdjęcia opatrzone danymi geolokalizacyjnymi.
Gdy samo przetwarzanie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy”.
  • Uzależnianie świadczenia usług od pozytywnej weryfikacji zdolności kredytowej.
  • Uzależnianie możliwości korzystania z usługi od informacji w zakresie dochodów, kwoty wydatków miesięcznych i innych wartości zebranych w wyniku profilowania.

Jak dokonywać DPIA?

Kroki dokonywania DPIA przedstawia poniższy wykres. Pod nim wyjaśniamy każdy z nich.

kroki-DPIA

Źródło: Wytyczne Grupy Roboczej Art. 29. dotyczące oceny skutków dla ochrony danych (WP 248)

1. Opis planowanych operacji przetwarzania
to przede wszystkim odpowiedzi na pytania, w jakim celu, zakresie i czasie będą przetwarzane dane osobowe. Jeśli prowadzisz już rejestr czynności przetwarzania, znasz odpowiedzi na te pytania.
Przykład:
Przy rekrutacji, przetwarzamy dane w celu zatrudnienia nowych pracowników. Zakres danych to imię, nazwisko, adres, wykształcenie i przebieg zatrudnienia. Termin usunięcia danych to 6 miesięcy po zakończeniu rekrutacji.

2. Ocena konieczności i proporcjonalności
to odpowiedź na pytanie, czy zakres przetwarzanych danych, zakres osób, których dane przetwarzamy, a także zakres odbiorców którym te dane udostępniamy, jest niezbędny z punktu widzenia celów i podstaw prawnych przetwarzania.
Przykład:
Kserowanie dokumentów tożsamości najczęściej nie jest ani niezbędne do realizacji celu przetwarzania (np. identyfikacji danej osoby), ani nie ma podstaw prawnych (wyjątkiem jest np. prawo bankowe).

3. Środki planowane w celu wykazania zgodności
opisujemy przez wskazanie zabezpieczeń organizacyjnych i technicznych, a także rekomendacji dotyczących usunięcia wykrytych niezgodności.
Przykład:
Zostaną wdrożone polityki i procedury ochrony danych, w tym polityka czystego biurka. Dokumenty w wersji papierowej będą zamykane na klucz w szafkach. Zbędne dane osobowe, w tym kopie dowodów osobistych zostaną niezwłocznie usunięte.

4. Ocena ryzyka naruszenia praw i wolności
osób, których dane dotyczą, obejmuje wskazanie:

  • jakie naruszenie może wystąpić,
  • z czego wynika możliwość wystąpienia zagrożenia (jakie są podatności),
  • jakie są możliwe skutki,
  • jaka jest waga zagrożenia,
  • jakie jest prawdopodobieństwo naruszenia,
  • jaki jest poziom ryzyka (jest to wynik mnożenia wagi i prawdopodobieństwa),
  • jakie są rekomendacje (jak zminimalizować ryzyko).

Jeśli ryzyko jest wysokie, a nie planujemy go zminimalizować, to musimy skonsultować się z Prezesem UODO (art. 36 RODO).
Ryzyko jest wysokie, jeśli przekracza obiektywnie ustalony próg akceptowalności (np. 40% maksymalnego możliwego wyniku).

Na końcu artykułu udostępniamy przykładowo wypełniony formularz.

Przykładowe kryteria:
Waga zagrożenia – skala 1-3, gdzie:

1 – Może dojść do naruszenia prawa, ale trudno wskazać negatywne następstwa dla osoby, której dane dotyczą.
2 – Zagrożeniem objęty jest taki zakres danych osobowych, przy wykorzystaniu którego można spowodować realną szkodę dla osoby, której dane dotyczą.
3 - Zagrożeniem objęty jest taki zakres danych osobowych, przy wykorzystaniu którego można realnie ograniczyć autonomię osoby, której dane dotyczą (m.in. możliwość decydowania o sobie, o relacjach z innymi, o wyborze pracy, czy o wykorzystaniu swoich środków finansowych).

Prawdopodobieństwo – skala 1-3, gdzie:

1 – Wystąpienie zdarzenia jest mało realne lub zdarzenie miało miejsce miało miejsce w przeszłości, ale nie wystąpiło w ciągu ostatnich trzech lat.
2 – Wystąpienie zdarzenia jest realne lub zdarzenie wystąpiło w ciągu ostatnich trzech lat.
3 – Wystąpienie zdarzenia jest wysoce realne lub zdarzenie wystąpiło w ciągu ostatniego roku.

5. Środki planowane w celu wyeliminowania ryzyka
ustala się na podstawie rekomendacji wydanych w poprzednim kroku. Realizując je, najczęściej niwelujemy podatności, z których wynika możliwość wystąpienia zagrożenia.
Przykład:
Planuje się weryfikować informacje dostarczane przez kandydatów na etapie rozmów kwalifikacyjnych. Kandydaci zapraszani na rozmowy będą proszeni o zabranie ze sobą dyplomów i certyfikatów.

6. Dokumentacja
DPIA obejmuje zapis czynności podejmowanych w ramach DPIA, jak również dowody audytowe, czyli np. kopie dokumentów potwierdzających prawdziwość ustaleń.
Przykład:
Zakres zbieranych danych (imię, nazwisko, adres, wykształcenie i przebieg zatrudnienia) można udokumentować kopią ogłoszenia o pracę lub formularza aplikacyjnego, gdzie występuje prośba o podanie takich danych.

7. Monitorowanie i przegląd
DPIA należy dokonywać zawsze, gdy występuje możliwość zmiany ryzyka naruszenia praw lub wolności osób fizycznych. W ramach dobrych praktyk, oceny skutków dla ochrony danych należy dokonywać raz w roku.
Przykład:
Jeżeli łączymy się z inną organizacją i będziemy prowadzić wspólną rekrutację, należy ocenić, czy nie nastąpi obniżenie standardów ochrony danych, a ryzyko dla procesu nie wzrośnie.

Podsumowanie

Ponieważ RODO ma na celu ochronę prywatności, główne wartości dodane przez ten akt, to:

DPIA dokonuje administrator, niezależnie od wielkości swojej organizacji. Odpowiedź na pytanie, kiedy dokonywać DPIA, znajduje się powyżej.

Szablon DPIA
Udostępniony przez nas szablon składa się z dwóch arkuszy. Jeden z nich jest już przykładowo uzupełniony dla procesu "Rekrutacja", drugi jest pusty dla procesów występujących w Państwa organizacjach.
Pobierz

Kompletne informacje na temat wymaganego zakresu DPIA, a także wyjaśnienie powiązanych przepisów, znajdziesz w wytycznych Grupy Roboczej Art. 29. dotyczących oceny skutków dla ochrony danych (WP 248).


Dr Paweł Mielniczek
24 sierpnia 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.