Ocena skutków przetwarzania danych osobowych – czym jest i kiedy jest wymagana?

GDPR czyli unijne Rozporządzenie o ochronie danych osobowych (polski skrót: RODO) wprowadza zupełnie nowe, dla polskich administratorów danych, pojęcie – Privacy Impact Assessment (PIA) czyli ocena skutków przetwarzania danych osobowych. Dotychczasowe podejście odnosiło się przede wszystkim do zabezpieczeń organizacyjnych, proceduralnych. Namiastką wytycznych w zakresie zabezpieczeń technicznych jest Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wskazujące m. in. wymaganą strukturę i długość hasła oraz częstotliwość jego zmiany, wymagania funkcjonalne dla systemów informatycznych, konieczność stosowania zabezpieczeń kryptograficznych. Nowe przepisy, bazując na wymaganiach normy ISO/IEC 27001:2014 wskazują na indywidualny dobór zabezpieczeń, adekwatnie do zidentyfikowanych ryzyk (risk based-approach).

1. Przetwarzane zakłada profilowanie
2. Przetwarzanie zakłada automatyczne podejmowanie decyzji wywołujących skutki prawne wobec osoby fizycznej
3. Przetwarzanie uwzględnia systematyczny monitoring na dużą skalę miejsc dostępnych publicznie
4. Przetwarzane będą dane wrażliwe
5. Dane przetwarzane będą na dużą skalę – znaczna ilości danych osobowych przetwarzanych na szczeblu regionalnym, krajowym lub ponadnarodowym
6. Przetwarzanie zakłada łączenie różnych zbiorów danych, np. pozyskanych do różnych celów
7. Przetwarzane mają być dane osób, które mogą mieć trudność z wyrażeniem sprzeciwu, np. dzieci ze względu na brak odpowiedniej wiedzy, pracownicy w odniesieniu do przetwarzania ich danych przez pracodawcę
8. Przetwarzanie zakłada wykorzystanie innowacyjnych technologii lub innowacyjnych środków organizacyjnych, w szczególności dotyczących identyfikacji osób fizycznych z zastosowaniem linii papilarnych lub z wykorzystaniem biometrii
9. Dane będą przekazywane poza UE
10. Operacje przetwarzania mogą utrudniać osobom, których dane dotyczą, wykonywanie przysługujących im praw, np. w przypadku przetwarzania danych przez podmioty publiczne

Spełnienie przynajmniej 2 z powyższych kryteriów będzie determinowało konieczność przeprowadzenia analizy PIA.

Ocena skutków przetwarzania danych osobowych nie będzie wymagana w przypadku, gdy przetwarzanie nie prowadzi do wysokiego ryzyka naruszenia praw i wolności osób, a zostało już dopuszczone w bardzo podobnym procesie przetwarzania, ma podstawę prawną w prawie UE lub państwa członkowskiego.

Dodatkowo, organ nadzorczy może ustanowić wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.