4 kwietnia 2017 r. Grupa Robocza przyjęła projekt wytycznych w zakresie oceny skutków dla ochrony danych osobowych (WP 248), która zostaje wprowadzona w art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1, dalej: RODO). Konsultacje publiczne nad projektem trwają do 23 maja 2017 r.

****

Jaki jest cel wydania wytycznych?

Od dnia 25 maja 2017 r. administrator przed rozpoczęciem przetwarzania danych osobowych zobowiązany będzie dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych (ang. Data Protection Impact Assessment – DPIA), jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co wynika z art. 35 RODO. Przeprowadzenie oceny skutków nie jest obligatoryjne w każdym przypadku przetwarzania danych osobowych.

Wytyczne przestawione przez Grupę Roboczą Art. 29 mają na celu wyjaśnienie administratorom przepisów w tym zakresie, aby umożliwić im prowadzenie działalności zgodnie z prawem oraz uzyskanie pewności co do sytuacji, w których DPIA jest obowiązkowe. Jest to istotne, gdyż art. 35 ust.3 zawiera wyłącznie przykładowe niewyczerpujące wyliczenie sytuacji, w których ocena skutków dla ochrony danych jest obowiązkowa. Ponadto, brak przeprowadzenia DPIA, gdy jest to obowiązkowe (art. 35 ust. 1 i 3 RODO) lub też przeprowadzenie DPIA niewłaściwie (art. 35 ust. 2, 7 i 9 RODO) lub też nieprzeprowadzenie konsultacji z organem nadzorczym, gdy jest to wymagane (art. 36 ust. 3 lit. e RODO), zagrożone jest administracyjną karą pieniężną w wysokości do 10 mln Euro, a w przypadku przedsiębiorstw w wysokości do 2% całkowitego rocznego obrotu światowego z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Kiedy DPIA jest obowiązkowe?

Dokument zawiera wykaz kryteriów, które należy brać pod uwagę w celu sprawdzenia, czy ocena skutków jest wymagana w konkretnym przypadku. Jednocześnie Grupa Robocza Art. 29 zastrzega, że w przypadkach, gdy nie jest jednoznaczne, czy DPIA jest wymagane, rekomendowane jest jego przeprowadzenie, chociażby ze względu na to, że jest to narzędzie pomocne dla administratorów w celu zachowania zgodności z przepisami o ochronie danych osobowych.

Jak wynika z wyżej powołanego art. 35 ust. 1 RODO, DPIA jest wymagane, jeżeli przetwarzanie danych osobowych „może powodować wysokie ryzyko” naruszenia praw lub wolności osób fizycznych. Zgodnie z art. 35 ust. 3 RODO ocena skutków jest wymagana w szczególności w następujących przypadkach, które nie stanowią jednak katalogu zamkniętego:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ponadto na podstawie art. 35 ust. 1, art. 35 ust. 3 lit. a-c), motywów 71, 75 oraz 91 preambuły RODO, Grupa Robocza art. 29 wskazała kryteria, które należy brać pod uwagę przy ocenie ryzyka dla naruszenia praw lub wolności osób fizycznych:

  1. ocena i scoring, w tym profilowanie i przewidywanie, w szczególności dotyczące takich aspektów podmiotu danych jak świadczenie pracy, sytuacja ekonomiczna, zdrowie, osobiste preferencje, zainteresowania, wiarygodność, zachowanie, lokalizacja czy poruszanie się,
  2. zautomatyzowane podejmowanie decyzji wywołujące skutki prawne lub wpływające na podmiot danych w podobny sposób (dalsze wyjaśnienia co do profilowania Grupa Robocza art. 29 zamieści w odrębnych wytycznych, które zostaną opublikowane w późniejszym terminie. Zagadnienie profilowania zostanie na pewno poruszone na blogu),
  3. systematyczne monitorowanie mające na celu obserwowanie, monitorowanie lub kontrolowanie podmiotu danych, w tym systematyczne monitorowanie miejsc dostępnie publicznych,
  4. przetwarzanie tzw. danych wrażliwych,
  5. dane przetwarzane na dużą skalę,
  6. dane osobowe podlegające łączeniu lub dopasowywaniu,
  7. dane dotyczące wrażliwych podmiotów danych,
  8. wykorzystanie do przetwarzania danych innowacyjnych rozwiązań technicznych lub organizacyjnych,
  9. transfer danych poza granice Unii Europejskiej,
  10. jeżeli przetwarzanie danych samo w sobie utrudnia podmiotom danych wykonywanie przysługujących im praw lub korzystanie z usługi lub z umowy.

Grupa Robocza art. 29 wskazuje, że im więcej kryteriów zostanie spełnionych, tym większe jest prawdopodobieństwo, że przetwarzanie danych przez administratora może powodować wysokie ryzyko naruszenia praw lub wolności podmiotu danych. Natomiast jeżeli administrator danych uważa, że przetwarzanie danych nie narusza praw i wolności, mimo że zostały spełnione określone kryteria, to powinien tę okoliczność dokładnie udokumentować.

Ponadto, zgodnie z treścią art. 35 ust. 4 RODO organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz operacji przetwarzania danych podlegających wymogowi dokonania oceny skutków dla ochrony danych. Dodatkowo, organ nadzorczy fakultatywnie może ustanowić i podać do publicznej wiadomości wykaz operacji przetwarzania danych niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. W praktyce okaże się, na ile wykazy te będą przydatne dla administratorów i podmiotów przetwarzających.

Grupa Robocza art. 29 rekomenduje, aby oceny skutków dla dotychczasowego przetwarzania danych osobowych dokonać przed majem 2018 r., mimo że formalnie wymóg ten będzie dotyczył operacji przetwarzania danych, które rozpoczęto po rozpoczęciu stosowania RODO po 25 maja 2018 r. W sytuacji, gdy w trakcie przetwarzania danych dojdzie do zmiany technologii, czy też celu przetwarzania wskazane jest powtórne przeprowadzenie DPIA, które pozwoli na zachowanie odpowiedniego poziomu ochrony danych osobowych w zmieniających się warunkach.

Jak przeprowadzić DPIA?

Po pierwsze DPIA powinno zostać przeprowadzone przez rozpoczęciem przetwarzania, już na etapie projektowania operacji przetwarzania danych, nawet jeżeli wszystkie planowane operacje nie są jeszcze znane. Administrator jest odpowiedzialny za wynik DPIA, ale może je zlecić zarówno podmiotowi w ramach organizacji, jak i podmiotowi zewnętrznemu. Jeżeli w danej organizacji powołano inspektora ochrony danych (DPO), to administrator zobowiązany jest się z nim skonsultować (art. 35 ust. 2 RODO). DPO natomiast jest zobowiązany do udzielania na żądanie zaleceń co do DPIA oraz następnie monitorowania ich wykonania (art. 39 ust. 1 lit. c RODO).

W przypadkach gdy przetwarzanie będzie przeprowadzane przez podmiot przetwarzający w całości lub części, powinien on brać udział w DPIA i udzielać koniecznych informacji. W stosownych przypadkach administrator zobowiązanych jest zasięgnąć opinii podmiotów danych lub też ich przedstawicieli w sprawie zamierzonego przetwarzania (art. 35 ust. 9 RODO).

Jaką metodą przeprowadzić DPIA?

DPIA powinno zawierać co najmniej (art. 35 ust. 7 RODO):

  1. systematyczny opis planowanych operacji przetwarzania danych i celów przetwarzania,
  2. ocenę niezbędności i proporcjonalności przetwarzania w stosunku do celów,
  3. ocenę ryzyka naruszenia praw i wolności podmiotów danych,
  4. środki planowane w celu zaradzenia ryzyku oraz wykazanie zgodności operacji przetwarzania danych z RODO.

Oceniając do celów DPIA skutki przetwarzania przez administratora lub podmiot przetwarzający uwzględnia się przestrzeganie przez taki podmiot zatwierdzonych kodeksów podstępowania z art. 40 RODO. RODO umożliwia administratorom elastyczność co do określenia formy DPIA, która będzie pasować do obecnych metod pracy. Grupa Robocza zachęca jednocześnie do tworzenia metod DPIA dla poszczególnych sektorów. Załącznik nr 1 do projektu wytycznych zawiera przykłady obecnie funkcjonujących DPIA, a załącznik nr 2 kryteria wymagane dla DPIA. Grupa Robocza wskazuje, że nie ma prawnego wymogu, aby wynik przeprowadzonego DPIA został opublikowany, lecz publikacja może pomóc w budowie zaufania do administratora, w szczególności gdy przetwarzanie są dane opinii publicznej, w tym przez władzę publiczną. Grupa podkreśla, że administrator może opublikować wyłącznie podsumowanie DPIA, a nie całość dokumentacji.

Kiedy administrator powinien skonsultować DPIA z organem nadzorczym?

Zgodnie z art. 36 ust. 1 RODO, jeżeli DPIA wykaże, że przetwarzanie spowodowałoby wysokie ryzyko dla praw i wolności osób, których dane dotyczą, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem tego przetwarzania administrator danych zobowiązany jest skonsultować się z organem nadzorczym.

Do kiedy trwają konsultacje publiczne nad projektem wytycznych?

Obecna wersja wytycznych nie jest ich tekstem ostatecznym. Uwagi do projektu wytycznych należy zgłaszać do 23 maja 2017 r. na adres JUST-ARTICLE29WP-SEC@ec.europa.eu lub presidenceg29@cnil.fr.