04 kw. DPIA – w jakich sytuacjach GIODO wymaga jej wykonania?
Jak wszyscy wiemy, RODO obciąża przedsiębiorców licznymi nowymi obowiązkami. Jednym z nowych wymogów, jest obowiązek przeprowadzania oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA) w przypadku prowadzenia procesów przetwarzania danych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
DPIA jest analizą, która powinna obejmować:
- opis planowanych działań i ich celów;
- ustalenie, czy takie działania są niezbędne i proporcjonalne do zamierzonych celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- planowane środki, które mają zapobiec ryzyku.
O ile sposób wykonania DPIA jest opisany w RODO dość szczegółowo, o tyle problematyczne w praktyce jest stwierdzenie, kiedy DPIA jest faktycznie wymagana. Jest to nowe rozwiązanie, które dotychczas nie funkcjonowało na rynku – na tym etapie nie ma jeszcze w tym zakresie wypracowanego orzecznictwa ani utrwalonych stanowisk organów.
Działania GIODO – dobry kierunek
W ustaleniu, jakie procesy faktycznie wymagają wykonania DPIA, pomocny może okazać się wykaz (https://www.giodo.gov.pl/pl/file/13366) przygotowany przez Generalnego Inspektora Ochrony Danych.
Na obecnym etapie, wykaz jest jedynie propozycją, która może ulegać zmianom (prowadzone są konsultacje w tym zakresie). Warto jednak się z nim zapoznać, ponieważ stanowi cenną wskazówkę interpretacyjną pokazującą od strony praktycznej podejście organu do kwestii DPIA. Szczególnie warto przy tym zwrócić uwagę na propozycję objęcia obowiązkiem wykonania DPIA niektórych procesów, które w rzeczywistości dotyczyć będą większości przedsiębiorców.
Nie budzi większych wątpliwości zaproponowane przez GIODO objęcie obowiązkiem wykonania DPIA m.in. takich operacji jak:
- zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub inne (np. ustalanie cen promocyjnych w oparciu o profil klienta),
- przetwarzanie szczególnych kategorii danych osobowych (np. przetwarzanie danych biometrycznych klientów lub pracowników w celu ich identyfikacji w systemach kontroli dostępu),
- innowacyjne wykorzystywanie rozwiązań technologicznych lub organizacyjnych (np. przetwarzanie przez serwisy internetowe zdjęć opatrzonych danymi geolokalizacyjnymi – pochodzących z aparatów wyposażonych w GPS).
Procesy te w praktyce faktycznie mogą wywoływać istotne ryzyka. Warto dokonać ich oceny niezależnie od tego, czy obowiązek taki wynikałby z przepisów (jest to kwestia nie tylko zgodności z przepisami, ale również ograniczenia ryzyka z perspektywy przedsiębiorcy).
Ocena ryzyka i wątpliwości
Wątpliwości może budzić natomiast wskazana przez GIODO konieczność przeprowadzenia DPIA dla bardzo ogólnie określonych procesów. Wśród nich wymienia się takie jak np. przetwarzanie danych na dużą skalę, prowadzenie porównań i wyciąganie wniosków na podstawie analizy danych z różnych źródeł oraz transgraniczne przekazywanie danych poza UE. Pojęcia te mogą obejmować praktycznie każde przetwarzanie danych – wystarczy, że następuje ono np. z wykorzystaniem pozaunijnych serwisów hostingowych.
Jako przykład przetwarzania danych na dużą skalę, wskazane zostało praktykowane przez większość przedsiębiorców przetwarzanie dokumentacji pracowniczej, a także dokonywanie oceny produktywności pracowników w oparciu o obserwacje czasu spędzonego przy komputerze. Jak wynika z przedstawionego przez GIODO przykładu, do objęcia przedsiębiorcy obowiązkiem przeprowadzenia DPIA wystarczy już samo monitorowanie czasu spędzonego na stanowisku pracy. Co więcej, w ramach wskazanego przez GIODO przykładu, obowiązkiem DPIA byłyby objęte również czynności, których wykonanie jest wynikiem innych obowiązków nałożonych przez RODO (jak np. monitorowanie działań pracownika w systemie informatycznym w celu zapewnienia rozliczalności i bezpieczeństwa operacji na danych).
Z kolei przykładem „porównań opartych na analizie danych z różnych źródeł” jest we wskazanym przez GIODO dokumencie przetwarzanie danych pracownika nieujętych w kodeksie pracy, na podstawie jego zgody. Ma być to wprost dopuszczone na podstawie kodeksu pracy znowelizowanego zgodnie z projektem ustawy z dn. 28.03.18 dostosowującej polski porządek prawny do RODO.
Kolejnym budzącym wątpliwości rodzajem przetwarzania danych wymagającym przeprowadzenia DPIA jest transgraniczne przekazywanie danych poza UE, w tym ich przechowywanie w chmurze o zasobach zlokalizowanych w krajach trzecich. Obecnie z chmury korzysta duża część przedsiębiorców, co pozwala na uzyskiwanie dostępu do danych z wielu urządzeń i ogranicza koszty (przedsiębiorca nie musi kupować serwerów ani przeznaczać nakładów finansowych na ich obsługę).
Uznanie w praktyce GIODO rozwiązań hostingowych / chmurowych za generujące wysokie ryzyko naruszenia praw lub wolności osób fizycznych nałoży na przedsiębiorców obowiązek wykonania oceny skutków dla ochrony danych, jeśli infrastruktura zlokalizowana jest poza UE – w praktyce w większości przypadków.
Kontrowersyjne jest też szerokie rozumienie przez GIODO obowiązku przeprowadzania DPIA w kontekście szczególnych kategorii danych osobowych. Jako przykład przetwarzania takich danych, GIODO wskazuje przetwarzanie informacji o działaniach mających czysto osobisty lub domowy charakter, w tym przechowywanie w chmurze dokumentów osobistych, zapewnianie dostępu do poczty elektronicznej, czy dostarczanie e-czytników wyposażonych w funkcję robienia notatek.
Oznacza to, że już sama hipotetyczna możliwość umieszczenia szczególnych kategorii danych w dokumentach, wiadomościach email, czy notatkach skutkuje tym, że przedsiębiorcy muszą traktować wszelkie związane z nimi operacje przetwarzania jako przetwarzanie szczególnych kategorii danych i, co za tym idzie, wykonać DPIA.
Jak więc wynika z wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych, rozumienie przez GIODO operacji wymagających DPIA jest bardzo szerokie. Szerokie tak bardzo, że może obejmować nawet czynności, których wykonanie wynika właśnie z RODO.
Rozumienie takie może prowadzić do sytuacji, w której wykonanie DPIA będzie obligatoryjne w przypadku znacznej większości czynności przetwarzania, przez większość przedsiębiorców funkcjonujących na rynku. Z tego względu warto z odpowiednim wyprzedzeniem przygotować procedury wykonywania DPIA (aby uprościć i ujednolicić ten proces) oraz… brać udział w konsultacjach dokumentów przygotowywanych przez GIODO, tak by możliwie odpowiadały one potrzebom przedsiębiorców.
