• Od czego powinna zacząć implementację RODO organizacja, która nie miała wcześniej do czynienia z ochroną danych osobowych?
  • Jakie działania i etapy składają się na proces wdrożenia?

Począwszy od dnia 25 maja 2018 roku RODO zdążyło już obrosnąć w mity i legendy, pojęcie „absurdy RODO” aspiruje do miana nowego związku frazeologicznego w języku polskim, a polscy przedsiębiorcy dzielą się na „zgodnych z RODO” i tych, u których RODO się „nie przyjęło”.

Od czego zacząć proces wdrażania RODO w firmie, jeśli z jakiegoś powodu do tej pory się to nie wydarzyło? 

Krok 1. Świadomość

Wszyscy eksperci zajmujący się RODO zgadzają się co do jednego – fundamentem ochrony danych osobowych i fundamentem wdrażania RODO w danej organizacji musi być ŚWIADOMOŚĆ. Świadomość kadry zarządzającej, a w dalszej kolejności - pracowników upoważnionych do przetwarzania  danych osobowych.  Powinna ona przełożyć się na zbudowanie systemu ochrony danych osobowych „uszytego na miarę” danej organizacji, w którym zostaną prawidłowo rozpisane role i odpowiedzialności oraz w którym będą stosowane mechanizmy kontrolne. 

Wdrożenie RODO nie jest jednorazową akcją, jest to proces wieloetapowy i wymagający bieżącej weryfikacji, a także poddawania się ciągłej samoocenie oraz doskonaleniu.

Krok 2. Szkolenie

Po podjęciu decyzji o wdrożeniu RODO w danej organizacji, osoby zarządzające muszą odpowiedzieć sobie na pytanie, czy są w stanie poradzić sobie z procesem wdrożenia przy pomocy własnych środków i personelu, czy potrzebują pomocy z zewnątrz.

Rekomendowanym krokiem już na tym etapie jest uczestnictwo w szkoleniu. Ułatwi ono i usprawni przeprowadzenie kolejnego etapu wdrożenia RODO, tj. audytu przygotowawczego.

Krok 3. Identyfikacja i inwentaryzacja danych osobowych/procesów przetwarzania

Organizacja może podjąć się samodzielnego zidentyfikowania i inwentaryzacji zgromadzonych danych osobowych oraz procesów przetwarzania danych osobowych bądź zlecić ich przeprowadzenie podmiotowi zewnętrznemu (np. jako element audytu przygotowawczego). Przeprowadzenie audytu przygotowawczego jest rekomendowane przez PUODO (wcześniej GIODO) i ma na celu zidentyfikowanie:

- jakie dane osobowe podmiot przetwarza,

- źródła i sposoby ich pozyskania,

- na jakiej podstawie prawnej są przetwarzane,

- komu są przekazywane,

- w jaki sposób są one zabezpieczane.

Następnym kluczowym zadaniem jest ustalenie, co do jakich danych organizacja pełni funkcję administratora, a co do których rolę procesora (podmiotu przetwarzającego). Kolejnym krokiem jest ustalenie ról i odpowiedzialności osób/komórek organizacyjnych w procesach przetwarzania danych osobowych (czyli m.in. ustalanie właścicieli procesów).

Krok 4. Audyt przygotowawczy (nazywany też wstępnym), tj. audyt zgodności przetwarzania danych osobowych z RODO, w ramach którego poszczególnym pozycjom z listy kontrolnej przypisujemy odpowiednią wartość – najprościej odwołać się do trzystopniowej skali: zgodność, niezgodność, nie dotyczy. Audyt powinien zostać zakończony sporządzeniem raportu z wnioskami i rekomendacjami. Raport powinien obrazować, w jakim stopniu dana organizacja spełnia wymagania z RODO oraz zawierać zalecenia do wdrożenia (zaleca się przeprowadzenie audytu prawnego oraz audytu środków i zabezpieczeń technicznych – tu z pomocą przychodzą dobre praktyki i normy ISO, w szczególności z zakresu bezpieczeństwa informacji).

Krok 5. Opracowanie dokumentacji składającej się na system ochrony danych osobowych w danej organizacji. Powinny się tu znaleźć w szczególności procedury realizacji obowiązków wynikających z RODO – m.in. obowiązków wynikających z praw osób (prawo dostępu do danych osobowych, sprostowania/uzupełnienia danych osobowych, usunięcia danych osobowych, ograniczenia przetwarzania, przenoszenia danych, prawa do sprzeciwu, prawa do tego, aby nie podlegać automatycznemu podejmowaniu decyzji), monitorowania i zgłaszania naruszeń oraz współpracy z organami nadzorczymi.

Nie istnieje „jedyna słuszna” lista dokumentów wymaganych przez RODO, natomiast z pewnością dokumentacja musi ona być indywidualnie dostosowana do danej organizacji, uwzględniać wnioski i rekomendacje wynikające z audytu, a także skalę oraz przedmiot działalności organizacji. Ostatnie dwa czynniki są być decydujące dla oceny, czy dana organizacja podlega dodatkowym obowiązkom wynikającym z RODO (np. obowiązek powołania IOD, obowiązek przeprowadzenia oceny skutków przetwarzania danych czy na obowiązek prowadzenia rejestru czynności przewarzania).

Wewnętrzną „konstytucją” w zakresie ochrony danych osobowych dla każdej organizacji będzie dokument zwyczajowo nazywany „Polityką Bezpieczeństwa danych osobowych”, który powinien opisywać, w jaki sposób organizacja realizuje zasady wynikające z RODO:

  1. zgodności z prawem, rzetelności i przejrzystości,
  2. ograniczenia celu przetwarzania danych,
  3. minimalizacji danych,
  4. prawidłowości danych,
  5. ograniczenia przechowania danych,
  6. integralności i poufności danych,
  7. rozliczalności.

Poniższa lista stanowi przykładowe wyliczenie dokumentów, składających się na system ochrony danych osobowych.

 

I Polityka Bezpieczeństwa Danych Osobowych z załącznikami w postaci:

  1. wzór upoważnienia do przetwarzania danych,
  2. wzór oświadczenia o zachowaniu poufności,
  3. wzór ewidencji osób upoważnionych do przetwarzania danych,
  4. wzór umowy powierzenia przetwarzania danych osobowych,
  5. wzór zgody na przetwarzanie danych,
  6. wzór klauzuli informacyjnej (tzw. obowiązek informacyjny)
  7. wzór ewidencji umów powierzenia/procesorów,
  8. struktura organizacyjna - ustalenie struktury ról, odpowiedzialności i uprawnień w zakresie ochrony danych osobowych.

 

II Procedury:

  1. Procedura komunikacji,
  2. Procedura obsługi żądań,
  3. Procedura zarządzania incydentami naruszenia danych osobowych (wraz ze wzorem rejestru naruszeń/incydentów)
  4. Procedura bieżącej oraz okresowej kontroli nad przestrzeganiem zasad ochrony danych osobowych,
  5. Procedura nadzoru nad dokumentacją,
  6. Procedura zarządzania zmianą (w tym: data protection by design, data protection by default),
  7. Procedura wyboru i oceny podmiotu przetwarzającego,
  8. Procedura oceny, monitorowania i skuteczności zabezpieczeń,
  9. Procedura konsultacji i współpracy z UODO.

 

Krok 6. Rejestr czynności przetwarzania danych  (prowadzony przez organizację jako Administratora) oraz rejestr kategorii czynności procesora (dotyczy danych osobowych i procesów, co do których organizacja występuje w charakterze procesora)

Rejestrowanie czynności przetwarzania (prowadzenie rejestru) jest obowiązkiem każdego administratora oraz procesora (obydwa rejestry różnią się nieco zawartością), za wyjątkiem przedsiębiorców zatrudniających mniej niż 250 osób i o ile przetwarzanie, którego dokonują, nie może powodować naruszenia praw lub wolności osób, których dane dotyczą, ma charakter sporadyczny lub nie obejmuje szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych,
o czym mowa w art. 10.

W rejestrze czynności przetwarzania prowadzonym przez administratora powinny zostać uwzględnione następujące rodzaje informacji:

1) imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

2) cele przetwarzania;

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

5) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Z kolei w rejestrze czynności przetwarzania prowadzonym przez podmiot przetwarzający powinny zostać uwzględnione następujące rodzaje informacji:

1) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;

2) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;

3) gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

4) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

Krok 7. Ustalenie, czy dane osobowe są przekazywane przez organizację do państw trzecich lub organizacji międzynarodowych, a jeśli tak - opracowanie mechanizmu transferu danych osobowych do państw trzecich lub organizacji międzynarodowych (zapewnienie legalności takiego transferu i przetwarzania).

Krok 8. Ustalenie, czy organizacja powinna powołać IOD

Obowiązkowe wyznaczenie IOD dotyczy organizacji, w których:

a)

 przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

 

b)

 główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

 

c)

 główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

 

Przetwarzanie przez organ publiczny

Nie dotyczy przedsiębiorców, za wyjątkiem sytuacji, gdy przedsiębiorca realizuje zadania publiczne,

 

Główna działalność administratora

Główna działalność administratora to działalność kluczowa z punktu widzenia osiągnięcia celów administratora (np. przetwarzanie danych przez bank w celu zbadania zdolności kredytowej, świadczenie opieki medycznej przez szpital – prowadzenie historii choroby pacjenta, przetwarzanie danych w zw. ze świadczeniem usługi monitoringu w centrach handlowych czy przestrzeni publicznej).

Główna działalność nie obejmuje natomiast czynności wspomagających, takich jak obsługa wynagrodzeń i kad­rowa lub standardowe wsparcie informatyczne. Jakkolwiek są to czynności niezbędne do wykonywania podstawowej działalności administratora lub procesora, to mają jednak charakter pomocniczy, dodatkowy, a nie główny.

 

Duża skala przetwarzania

Duża skala przetwarzania to przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.

 

Nie jest możliwe wskazanie konkretnej wartości, rozmiaru zbioru danych, liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Jako przykłady „przetwarzania na dużą skalę” wskazuje się przetwarzanie danych:

  1. pacjentów przez szpital w ramach prowadzonej działalności;
  2. dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’);
  3. geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
  4. klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  5. do celów reklamy behawioralnej przez wyszukiwarki;
  6. dotyczących treści, ruchu, lokalizacji przez dostawców usług telefonicznych lub internetowych.

Jako przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:

  1. przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza;
  2. przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

 

Regularne i systematyczne monitorowanie

Regularne i systematyczne monitorowanie to wszelkie formy śledzenia i profilowania w sieci (ale nie tylko), w tym na potrzeby reklam behawioralnych.

 

Grupa Robocza art. 29 definiuje:

1) "regularne" jako jedno lub więcej z następujących pojęć:

- stałe albo występujące w określonych odstępach czasu przez ustalony okres;

- cykliczne albo powtarzające się w określonym terminie;

- odbywające się stale lub okresowo.

 

2) "systematyczne" jako jedno lub więcej z następujących pojęć:

- występujące zgodnie z określonym systemem;

- zaaranżowane, zorganizowane lub metodyczne;

- odbywające się w ramach generalnego planu zbierania danych;

- przeprowadzone w ramach określonej strategii.

 

Przykłady działań, które mogą stanowić regularne i systematyczne monitorowanie osób, których dane dotyczą:

  • obsługa sieci telekomunikacyjnej;
  • świadczenie usług telekomunikacyjnych;
  • przekierowywanie poczty elektronicznej;
  • działania marketingowe oparte na danych;
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy);
  • śledzenie lokalizacji, na przykład przez aplikacje mobilne;
  • programy lojalnościowe;
  • reklama behawioralna;
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych;
  • monitoring wizyjny;
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, etc.

Szczególne kategorie danych

Szczególne kategorie danych zgodnie z artykułem 9 RODO to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.

Przetwarzania danych dotyczących wyroków skazujących i naruszeń prawa wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą.

Chociaż przepis używa słowa "i", nie ma powodu, dla którego obie przesłanki powinny być stosowane jednocześnie. Zastosowanie powinien mieć łącznik "lub".

Art. 37  ust. 4 RODO – fakultatywne wyznaczenie IOD:

W przypadkach innych niż te, o których mowa w ust. 1, administrator, podmiot przetwarzający, zrzeszenia lub inne podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających mogą wyznaczyć lub jeżeli wymaga tego prawo Unii lub prawo państwa członkowskiego, wyznaczają inspektora ochrony danych. Inspektor ochrony danych może działać w imieniu takich zrzeszeń i innych podmiotów reprezentujących administratorów lub podmioty przetwarzające.

A zatem administrator/procesor mogą zdecydować o wyznaczeniu IOD pomimo braku takiego obowiązku. W takim przypadku, wymagania dotyczące wyznaczenia, statusu i zadań IOD, zawarte w art. 37-39 RODO, należy stosować odpowiednio (tak, jakby wyznaczenie było obowiązkowe).

Zgodnie z Wytycznymi dotyczącymi IOD nic nie stoi na przeszkodzie, by podmiot, który nie jest zobowiązany przepisami prawa do wyznaczenia inspektora ochrony danych i nie zamierza dobrowolnie wyznaczać takiego inspektora, wyznaczył pracownika albo zatrudnił zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych. W przypadku powołania takiej osoby istotne jest, aby nazwa stanowiska, status pracownika, pozycja i zadania nie wprowadzały w błąd. W związku z tym zaleca się poinformowanie pracowników organizacji, jak również organów ochrony danych, osób, których dane dotyczą, i ogółu społeczeństwa, iż osoba zatrudniona nie jest IOD w świetle przepisów RODO.

W celu zapewnienia przejrzystości prawnej, dobrej organizacji oraz w celu zapobiegania konfliktom interesów członków zespołu, Wytyczne dot. IOD zalecają wyraźny podział zadań w ramach zewnętrznego zespołu IOD oraz wyznaczenie jednej osoby jako wiodącej osoby kontaktowej i "odpowiedzialnej" za klienta, w ramach umowy o świadczenie usług.

Podsumowując: organizacja jest zobowiązana do wyznaczenia IOD, jeśli spełnia wymogi z art. 37 ust. 1 RODO; organizacja może (nie jest jednak zobowiązana) wyznaczyć IOD, jeśli nie spełnia wymogów z art. 37 ust. 1 RODO.

Jeśli chodzi o fakultatywnego IOD to tu organizacja może skorzystać z 2 wariantów:

  1. powołanie IOD na podstawie art. 37 ust. 4 RODO(tj. fakultatywnie) – może to być pracownik spółki bądź osoba z zewnątrz (outsourcing) – i taki IOD ma prawa i obowiązki takie jak IOD powołany obligatoryjnie,
  2. wyznaczenie osoby odpowiedzialnej za nadzór nad przetwarzaniem danych osobowych
    w danej organizacji bez nadawania jej funkcji IOD – może to być pracownik Spółki bądź osoba z zewnątrz (outsourcing).

 

Krok 9. Analiza ryzyka (w tym opracowanie Metodyki analizy ryzyka i sporządzenie Raportu z analizy ryzyka i postępowania z ryzykiem dla ochrony danych osobowych)

Każdy administrator powinien zidentyfikować i zdefiniować, jakie elementy systemu ochrony danych osobowych są podatne na zagrożenia. W celu ustalenia właściwego postępowania z ryzykiem należy zidentyfikować zagrożenia dla poufności, integralności, dostępności, rozliczalności oraz praw i wolności osób, jakie mogą wystąpić w procesach przetwarzania danych osobowych.

Podczas identyfikacji źródeł ryzyka należy wziąć pod uwagę kontekst organizacji, w szczególności czynniki zewnętrzne i wewnętrzne, strony zainteresowane i ich wymagania oraz oczekiwania. Opracowana metodyka powinna zawierać opis sposobu liczenia ryzyka, opisy przyjętych skal (np. prawdopodobieństwa oraz skutków wystąpienia ryzyka), może zawierać listę przykładowych zagrożeń i podatności.

Dwa spojrzenia na skutki zagrożeń

Punktem wyjścia do analizy ryzyka powinny być procesy przetwarzania danych osobowych, np.  czynności przetwarzania zidentyfikowane w rejestrze czynności. W ramach procesów/czynności należy zidentyfikować, jakie dane osobowe są przetwarzane oraz jaki jest ich kontekst przetwarzania (w tym ich kategoria, wrażliwość, ilość itp.).

Identyfikując zagrożenia dla poufności, integralności, dostępności oraz ryzyka związane z brakiem rozliczalności organizacja identyfikuje ryzyka wynikające ze swojej działalności, które mogą oznaczać wystąpienie negatywnych konsekwencji dla niej samej (utrata poufności danych osobowych to możliwość nałożenia kar lub żądań odszkodowań od osób, brak rozliczalności to potencjalne kary ze strony UODO).

Zadaniem RODO jest między innymi również zapewnienie właściwej ochrony praw i wolności osób i dlatego istotnym elementem jest identyfikacja ryzyk, które mogą negatywnie wpływać na prawa i wolności osób (udostępnienie danych osobowych podmiotowi przetwarzającemu, który nie gwarantuje właściwej ochrony danych, może skutkować udostępnieniem skanów dowodów osobistych, co w konsekwencji może doprowadzić do ich wykorzystania w celu wzięcia kredytu).

Kto powinien być zaangażowany w analizę ryzyka?

Analiza ryzyka powinna być przeprowadzana przez osoby mające świadomość, jakie zagrożenia mogą wystąpić podczas przetwarzania danych osobowych, w każdym jego etapie. Do identyfikacji zagrożeń warto zaprosić osoby odpowiedzialne za procesy, w których są przetwarzane dane osobowe, w szczególności osoby odpowiedzialne za IT, bezpieczeństwo fizyczne, prawne, osobowe oraz sprzedaż i marketing. Pomocne będzie wsparcie się wiedzą IOD, jeśli został powołany.

Kiedy przeprowadzać analizę ryzyka?

Analiza ryzyka powinna być przeprowadzana minimum w trzech przypadkach:

  1. okresowo, np. raz w roku
  2. w przypadku wystąpienia zmian, które mogą mieć wpływ na bezpieczeństwo danych osobowych
  3. po wystąpieniu poważnego incydentu lub naruszenia ochrony danych osobowych.

Krok 10. Ustalenie, czy organizacja powinna przeprowadzić ocenę skutków przetwarzania dla ochrony danych  (DPIA).

Aby stwierdzić, czy w konkretnym procesie musimy przeprowadzić DPIA musimy odpowiedzieć na poniższe pytania:

  1. Czy dochodzi do systematycznej, kompleksowej oceny czynników osobowych, opartej na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i będącej podstawą decyzji wywołujących skutki prawne lub w inny sposób znacząco wpływających na osobę fizyczną? (art. 35 ust. 3 lit. a RODO)
  2. Czy dochodzi do przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa? (art. 35 ust. 3 lit. b RODO)
  3. Czy dochodzi do systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie? (art. 35 ust. 3 lit. c RODO)
  4. Czy organ nadzorczy uznał dany rodzaj operacji przetwarzania za podlegający wymogowi DPIA lub istnieją inne powody, dla których przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? (art. 35 ust. 1 i 4 RODO)
  5. Czy przetwarzanie łącznie: a) dotyczy danych zwykłych i jest niezbędne do wypełnienia obowiązku prawnego lub zadania realizowanego w interesie publicznym lub w ramach władzy publicznej? b) jest regulowane przepisami szczególnymi? (art. 35 ust. 10 RODO)

 

Narzędzie do przeprowadzenia DPIA musi uwzględniać 4 obszary:

  1. Systematyczny opis operacji przetwarzania (art. 35 ust. 7 lit. a)
  2. Niezbędność oraz proporcjonalność (art. 35 ust. 7 lit. b)
  3. Zarządzanie ryzykiem naruszenia praw i wolności osób, których dane dotyczą (art. 35 ust. 7 lit. c)
  4. Zaangażowanie zainteresowanych strony (Art. 35 ust. 2 i 9)

 

Po przeprowadzeniu oceny skutków przetwarzania otrzymamy wynik w postaci wysokiego ryzyka lub po prostu ryzyka. W razie wystąpienia ryzyka monitorujemy proces i po upływie określonego okresu  np. roku (jeżeli wcześniej proces się nie zmienił) ponownie przeprowadzamy DPIA.

Natomiast wobec procesów o wysokim ryzyku należy podjąć działania mające na celu jego obniżenie do poziomu tzw. zwykłego ryzyka.

Produktem DPIA jest lista procesów wraz z oceną ryzyka i ewentualnie rekomendacją obniżającą ryzyko.

W raporcie końcowym z oceny skutków przetwarzania powinny znaleźć się:

  1. Nazwa projektu, data oceny, osoba odpowiedzialna.
  2. Wstępna ocena skutków dla ochrony danych – ocena ogólna ryzyka.
  3. Analiza projektu wraz z identyfikacją zagrożeń i ich potencjalnych skutków dla prywatności oraz czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, rekomendowane środki zaradcze.
  4. Stanowisko kadry zarządzającej - decyzje o wprowadzeniu środków zaradczych lub akceptacja ryzyka.
  5. Ewentualne konsultacje z UODO w przypadku wysokiego ryzyka przed rozpoczęciem przetwarzania
  6. Przypadki, w których należy dokonać przeglądu sporządzonej oceny bądź ponowienia oceny.

Uzupełniająco warto wskazać, że PUODO podał do publicznej wiadomości wykaz rodzajów operacji przetwarzania, wymagających prowadzenia oceny skutków dla ochrony danych na mocy art. 35 ust. 1 RODO. Wykaz został opublikowany w formie załącznika do komunikatu Prezesa Urzędu Ochrony Danych Osobowych (UODO) z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony (ogłoszonego w Monitorze Polskim w dniu 24 sierpnia 2018 roku, poz. 827). Wykaz operacji stanowi powtórzenie 9 z 10 pozycji wskazanych w Wytycznych dot. DPIA.

Zgodnie z Wytycznymi dot. DPIA przy ocenie operacji przetwarzania, które mogą powodować wysokie ryzyko, należy wziąć pod uwagę następujące kryteria:

1. Ewaluacja lub ocena, w tym profilowanie i prognozowanie w szczególności na podstawie "aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą" (motywy 71 i 91 RODO) (przykładem tego może być instytucja finansowa sprawdzająca swoich klientów w referencyjnej bazie danych kredytowych lub bazie danych w zakresie przeciwdziałania praniu pieniędzy i zwalczania finansowania terroryzmu;  przedsiębiorstwo biotechnologiczne bezpośrednio oferujące konsumentom badania genetyczne w celu oceny i prognozowania ryzyka wystąpienia choroby lub zagrożeń dla zdrowia, a także przedsiębiorstwo tworzące profile zachowań lub profile marketingowe w oparciu o wykorzystanie lub nawigację na swojej stronie internetowej).

2. Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku: przetwarzanie mające na celu podjęcie decyzji w sprawie osób, których dane dotyczą, wywołujących "skutki prawne wobec osoby fizycznej" lub decyzji, które "w podobny sposób istotnie na nią wpływają" (art. 35 ust. 3 lit. a RODO). Przykładowo przetwarzanie może prowadzić do wykluczenia lub dyskryminacji osób fizycznych. Przetwarzanie mające niewielki wpływ na osoby fizyczne lub niemające na nie żadnego wpływu nie spełnia tego konkretnego kryterium.

3. Systematyczne monitorowanie: przetwarzanie wykorzystywane do obserwacji, monitorowania lub kontrolowania osób, których dane dotyczą, w tym danych gromadzonych za pośrednictwem sieci lub ramach "systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie" (art. 35 ust. 3 lit. c). Ten rodzaj monitorowania stanowi jedno z kryteriów, ponieważ dane osobowe mogą być gromadzone w sytuacji, gdy osoby, których dane dotyczą, nie są świadome tego, kto gromadzi ich dane i w jaki sposób z nich korzysta. Ponadto osoby fizyczne mogą nie być w stanie uniknąć takiego rodzaju przetwarzania w przestrzeni publicznej (lub przestrzeni publicznie dostępnej).

4. Dane wrażliwe lub dane o charakterze wysoce osobistym: obejmują szczególne kategorie danych osobowych określone w art. 9 (np. informacje o poglądach politycznych obywateli) oraz dane osobowe dotyczące wyroków skazujących za przestępstwo lub naruszeń prawa zdefiniowane w art. 10 RODO (przykładem może być szpital przechowujący dokumentację medyczną pacjentów lub prywatny detektyw przechowujący szczegółowe dane przestępców). Oprócz tych przepisów zawartych w RODO niektóre kategorie danych można uznać za zwiększające potencjalne ryzyko naruszenia praw i wolności osób fizycznych. Te dane osobowe uznaje się za szczególnie wrażliwe (zgodnie z powszechnym rozumieniem tego terminu), ponieważ są powiązane z gospodarstwem domowym i działalnością prywatną (taką jak łączność elektroniczna, której poufność należy chronić) lub ponieważ wpływają na wykonanie prawa podstawowego (takie jak dane dotyczące lokalizacji, których gromadzenie jest sprzeczne ze swobodą poruszania się), lub ponieważ ich naruszenie ma wyraźny wpływ na codzienne życie osób, których dane dotyczą (takie jak dane finansowe, które mogą zostać wykorzystane do oszustw płatniczych). Kryterium to może również obejmować dane takie jak dokumenty osobiste, wiadomości e-mail, pamiętniki, notatki z e-czytników wyposażonych w funkcję notatnika oraz dane mające bardzo osobisty charakter zawarte w aplikacjach rejestrujących codzienną aktywność.

5. Dane przetwarzane na dużą skalę: w RODO nie zawarto definicji pojęcia "przetwarzanie na dużą skalę", choć w motywie 91 przedstawiono pewne wskazówki w tym zakresie. Grupa Robocza art. 29 zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

1) znaczna liczba podmiotów danych, jako wartość bezwzględna lub względna - w odniesieniu do danej populacji,

2) zakres przetwarzanych danych i zróżnicowanie ich kategorii,

3) czas trwania przetwarzania danych,

4) zasięg geograficzny przetwarzania danych.

6. Dokonano porównania lub połączenia  zestawów danych: np. pochodzących z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą.

7. Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą (motyw 75 RODO): przetwarzanie tego rodzaju danych stanowi jedno z kryteriów ze względu na zwiększoną nierównowagę sił między osobami, których dane dotyczą, a administratorem danych, co oznacza, że osoby fizyczne mogą mieć trudności z wyrażeniem zgody na przetwarzanie swoich danych lub z wyrażeniem sprzeciwu wobec ich przetwarzania, lub mogą mieć trudności z korzystaniem z przysługujących im praw. Do osób wymagających szczególnej opieki, których dane dotyczą, można zaliczyć dzieci, pracowników, bardziej wrażliwe grupy społeczne wymagające szczególnej ochrony (osoby chore psychicznie, osoby ubiegające się o azyl lub osoby starsze, pacjenci itp.) oraz w każdą sytuację, gdy można stwierdzić brak równowagi między stanowiskiem osoby, której dane dotyczą, a stanowiskiem administratora.

8. Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych, takich jak połączenie technologii rozpoznającej odcisk palca i twarz w celu poprawy fizycznej kontroli dostępu itd. W RODO (art. 35 ust. 1 i motywy 89 i 91 RODO) wyjaśniono, że wykorzystanie nowej technologii zdefiniowanej "zgodnie ze stanem wiedzy technicznej" (motyw 91 RODO) może sprawić, iż konieczne będzie przeprowadzenie oceny skutków dla ochrony danych. Wynika to z tego, że zastosowanie takiej technologii może wiązać się z nowymi formami gromadzenia i wykorzystania danych, co może stwarzać ryzyko naruszenia praw i wolności osób fizycznych. W istocie osobiste i społeczne skutki wprowadzenia nowej technologii mogą nie być znane. Ocena skutków dla ochrony danych pomoże administratorowi danych zrozumieć takie ryzyko i je wyeliminować. Na przykład niektóre aplikacje „Internetu Przedmiotów” mogą mieć znaczący wpływ na codzienne życie i prywatność osób fizycznych; dlatego wymagane jest przeprowadzenie oceny skutków dla ochrony danych.

9. Transgraniczne przekazywanie danych poza Unię Europejską (motyw 116 RODO) – biorąc pod uwagę, m.in. przewidywany kraj lub kraje przeznaczenia, możliwość dalszego przekazywania.

10. Gdy samo przetwarzanie "uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy" (art. 22 i motyw 91 RODO). Obejmuje to operacje dotyczą przetwarzania prowadzonego w miejscu publicznym, którego przechodzący ludzie nie sa wstanie uniknąć lub przetwarzania, którego celem jest umożliwienie osobom, których dane dotyczą, uzyskania dostępu do usługi lub zawarcia umowy, zmiana tego dostępu lub odmówienie dostępu. (np. bank sprawdzający swoich klientów w bazie informacji kredytowej, aby podjąć decyzję o zaproponowaniu im pożyczki).

 

Przykłady Grupy Roboczej art. 29 – kiedy DPIA jest wymagana:

- szpital przetwarzające dane genetyczne i dotyczące zdrowia swoich pacjentów,

- wykorzystanie systemu kamer do monitorowania zachowania kierowców na autostradach,

- gromadzenie danych z profili na publicznych mediach społecznościowych, które mają być wykorzystane przez prywatne przedsiębiorstwa generujące profile do katalogów kontaktów,

- przedsiębiorstwo monitorujące działania pracowników, w tym stanowiska pracy, działania w Internecie.

 

Przykłady Grupy Roboczej art. 29 – kiedy DPIA nie jest wymagana:

- przetwarzanie danych osobowych pacjentów lub klientów przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika,

- magazyn internetowy korzystający z listy dystrybucyjnej do wysyłania ogólnej skróconej wiadomości do swoich subskrybentów

- strona internetowa poświęcona handlowi elektronicznemu, wyświetlająca reklamy dotyczące części do zabytkowych samochodów i korzystająca z ograniczonego profilowania w oparciu o elementy przeglądane lub kupione na tej stronie internetowej.

 

Krok 11. Szkolenie – zdecydowanie rekomendowane jest zapewnienie szkoleń z zakresu ochrony danych osobowych wszystkim osobom biorącym udział w przetwarzaniu danych osobowych w imieniu administratora, czyli osobom upoważnionych do przetwarzania danych osobowych przez administratora.

 

Warto zwrócić uwagę, aby szkolenia były przygotowane dla danej organizacji w oparciu o specyfikę branży, w której działa, ale także dla poszczególnych pracowników – tj. aby były dostosowane do rodzaju stanowiska oraz zakresu odpowiedzialności danego pracownika/współpracownika - rekomendowane jest zapewnienie osobnego szkolenia dla kadry zarządzającej, dla pracowników działu kadr, pracowników działu sprzedaży/marketingu.

 

Krok 12. Audyt powdrożeniowy – rekomendowane jest przeprowadzenie audytu zgodności działania organizacji z RODO (działania zgodnie z wdrożonym systemem ochrony danych osobowych)

 

Krok 13. Bieżące monitorowanie – powinno przybierać formę cyklicznie przeprowadzanych audytów, prowadzenia rejestru naruszeń,  uaktualniania rejestru czynności przetwarzania, uwzględniania zasad ochrony danych osobowych w każdym nowym projekcie.

 

Powyższe opracowanie stanowi zbiór zabezpieczeń prawno-organizacyjnych „patrząc od wewnątrz” danej organizacji. Warto zaprezentować pokrótce jakich obowiązków „na zewnątrz” powinien dopełnić każdy administrator danych osobowych. 

 

Obowiązki „na zewnątrz”:

  1. Przygotowanie i zakomunikowanie osobom uprawnionym klauzul informacyjnych - tj. spełnienie tzw. obowiązków informacyjnych
  2. Przygotowanie i stosowanie formularza zgody na przetwarzanie danych osobowych
  3. Zawarcie umów powierzenia – dwukierunkowo – tzn. w przypadkach, w których dana organizacja powierza dane procesorowi, a także w przypadkach gdy organizacja pełni funkcję procesora.

 

Zobacz również

Zatrudniamy niepełnosprawnego pracownika, cz. 1

SS_46_84.jpg
  • Jakie są najczęstsze lęki dotyczące zatrudniania niepełnosprawnych i czy są uzasadnione?
  • Jak osoba z niepełnosprawnością może wesprzeć zespół sprzedażowy?
  • Jak skutecznie szukać niepełnosprawnego pracownika i… go znaleźć?
Czytaj więcej

Zwroty i reklamacje - co bezwzględnie przysługuje klientom?

SS_44_83.jpg
  • W jakich okolicznościach nabywcy przysługuje uprawnienie do zwrotu towaru?
  • Jak odróżnić je od prawa do złożenia reklamacji?
  • Jakie obowiązki powstają w obu przypadkach po stronie sprzedawcy?
Czytaj więcej

Jak zgodnie z prawem zbierać dane osobowe podczas eventów branżowych

SS_43_82.jpg
  • W jaki sposób zbierać nowe kontakty (leady) pochodzące z eventów, aby można było utrzymać dalszą relację sprzedażowo-marketingową?
  • Jakie przepisy regulują właściwe gromadzenie i przetwarzanie danych osobowych, a także prowadzenie komunikacji zgodnie z prawem?
  • Jak technologie pomagają w procesie zbierania zgód?
Czytaj więcej

Numer bieżący

Przejdź do

Partnerzy

Reklama