Jak udokumentować przeprowadzenie oceny skutków dla ochrony danych

Autor: Jowita Sobczak
Zgodnie z RODO administrator będzie musiał przeprowadzić ocenę skutków przetwarzania dla ochrony danych. Grupa Robocza Art. 29 zaleca, aby udokumentować realizację tego obowiązku. Dowiedz się, w jaki sposób można będzie udokumentować przeprowadzenie oceny skutków dla ochrony danych.
Ocena skutków dla ochrony danych osobowych została uregulowana w art. 35 ogólnego rozporządzenia o ochronie danych (RODO).  Zgodnie z jego treścią, jeżeli dany rodzaj przetwarzania danych osobowych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator przed rozpoczęciem przetwarzania musi dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ustawodawca nie określił, w jaki sposób należy dokumentować przeprowadzenie tej oceny. Nie wskazał też narzędzi (np. metodologii), dzięki którym administrator może jej dokonać. Administrator powinieneś być w stanie wykazać, że przeprowadził ocenę skutków dla ochrony danych, np. na wypadek kontroli prowadzonej przez organ nadzorczy.
Oceny skutków dla ochrony danych nie trzeba przeprowadzać w przypadku każdej operacji przetwarzania. Jest ona wymagana, wyłącznie gdy dany rodzaj przetwarzania „może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Ponadto, jeżeli ocena wykaże, że przetwarzanie powodowałoby wysokie ryzyko, a administrator nie zastosował odpowiednich środków, aby je zminimalizować ryzyka, to przed rozpoczęciem przetwarzania należy skonsultować się z organem nadzorczym. Dlatego bardzo istotne jest, aby proces przeprowadzania oceny skutków dla ochrony danych był odpowiednio dokumentowany na każdym etapie jej realizacji.
Według Grupy Roboczej Art. 29 ocenę skutków dla ochrony danych może przeprowadzić inny podmiot niż administrator danych, np. podmiot bądź osoba z danej jednostki, ale również spoza niej (np. firma doradcza). Ostateczna odpowiedzialność za wykonanie zadania i odpowiednie udokumentowanie oceny skutków spoczywa jednak na administratorze danych. Powinien więc opracować i wdrożyć metodykę przeprowadzania oceny skutków dla ochrony danych dostosowaną do potrzeb jego jednostki organizacyjnej. Kolejny krok to wskazanie osób odpowiedzialnych za jej realizację oraz współpracę z osobą, która musi dokonać takiej oceny. Ważne jest, aby w procesie oceny skutków dla ochrony danych uczestniczyła cała organizacja, a nie tylko osoba, której zadaniem jest przeprowadzenie oceny.
Administrator danych podczas wykonywania oceny skutków dla ochrony danych musi konsultować się z inspektorem ochrony danych, jeżeli został wyznaczony. Wyniki takiej konsultacji i podjęte decyzje trzeba także udokumentować w ramach oceny skutków dla ochrony danych. Inspektor powinien wyrazić swoją opinię na temat realizacji oceny skutków lub też jej wyników. Jeśli administrator nie będzie zgadzać się ze stanowiskiem inspektora ochrony danych, powinien to uzasadnić.
 
Jeżeli proces przetwarzania danych osobowych jest całkowicie lub częściowo realizowany przez podmiot przetwarzający dane (procesora), to w takiej sytuacji podmiot przetwarzający powinien wspomóc administratora w przeprowadzeniu oceny skutków dla ochrony danych, m.in. dostarczając wszelkie niezbędne informacje, o które administrator zwróci się do niego. W takim przypadku proces współpracy z podmiotem przetwarzającym dane osobowe też trzeba udokumentować.
RODO określa elementy, które powinny znaleźć się w dokumentacji oceny skutków dla ochrony danych. Będą to:
  • opis planowanych operacji przetwarzania i celów przetwarzania, 

  • ocena, czy operacje przetwarzania są niezbędne oraz proporcjonalne,

  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku i wykazaniu przestrzegania RODO.
Podczas oceny skutków trzeba uwzględnić zgodność z kodeksem postępowania. Może to być przydatne, aby wykazać, że administrator wybrał lub wprowadził odpowiednie środki ochrony danych osobowych, pod warunkiem że kodeks postępowania jest odpowiedni dla operacji przetwarzania. Trzeba również uwzględnić certyfikację, znaki jakości oraz oznaczenia mające świadczyć o zgodności operacji przetwarzania z RODO, a także wiążące reguły korporacyjne.
Niezależnie od formy ocena skutków dla ochrony danych musi stanowić rzeczywistą ocenę ryzyka, pozwalając administratorom podjąć działania na rzecz jego wyeliminowania. Zgodnie z art. 35 ust. 9 RODO „w stosownych przypadkach” administrator musi „zasięgnąć opinii osób, których dane dotyczą, lub ich przedstawicieli”. Grupa Robocza Art. 29 uważa, że opinie te można zebrać za pomocą różnych środków w zależności od kontekstu (np. badanie ogólne dotyczące celu i środków operacji przetwarzania, pytanie do przedstawicieli pracowników lub zwykła ankieta wysłana do przyszłych klientów administratora danych). Aby móc przetwarzać wszelkie dane osobowe wykorzystywane podczas  zbierania takich opinii, trzeba mieć do tego podstawę prawną.
Jeżeli ostateczna decyzja administratora będzie różniła się od opinii osób, których dane dotyczą, trzeba udokumentować powody podjęcia bądź niepodjęcia tej decyzji. Trzeba również przedstawić uzasadnienie, jeżeli administrator nie zasięgnął opinii osób, których dane dotyczą, jeżeli uzna to za niewłaściwe, np. w przypadku gdy stanowiłoby to zagrożenie dla zasad bezpieczeństwa jednostki organizacyjnej.
Dobrą praktyką jest zdefiniowanie i udokumentowanie innych konkretnych ról i obowiązków, w zależności od wewnętrznych procedur, procesów i zasad, np. w przypadku skorzystania z opinii niezależnych ekspertów reprezentujących różne zawody (prawników, informatyków, ekspertów z zakresu bezpieczeństwa itp.). Ich opinie również należy włączyć do dokumentacji oceny skutków przetwarzania dla ochrony danych. Udokumentowane powinny być także wszelkie sugestie ze strony inspektora ochrony danych w odniesieniu do konkretnej operacji przetwarzania danych osobowych.
Sposób dokumentowania przeprowadzenia oceny skutków przetwarzania dla ochrony danych osobowych powinien być dostosowany do potrzeb i możliwości administratora danych. Trzeba pamiętać jednak, aby uwzględnić w procesie dokumentowania oceny skutków dla ochrony danych wszystkie niezbędne czynności, będzie to miało bowiem istotne znaczenie dla spełnienia zasady rozliczalności, o której mowa w RODO.


Jowita Sobczak

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Array ( [docId] => 50040 )

Array ( [docId] => 50040 )
Array ( [docId] => 50040 )