W dniu 17 lipca 2019 r. Prezes Urzędu Ochrony Danych Osobowych opublikował komunikat zawierający wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. To bardzo istotny dokument, ponieważ przedsiębiorcy, którzy przetwarzają dane w sposób wskazany w wykazie, będą zobligowani do wykonania oceny skutków przetwarzania danych dla ich ochrony. Jej brak może zostać uznany za naruszenie RODO i obarczony sankcją.
Dlaczego trzeba wykonać ocenę ryzyka?
Właściwa ocena ryzyka jest podstawowym założeniem RODO. Konstrukcja tego aktu jest właściwa dla nowych trendów w zakresie stanowienia prawa w ramach Unii Europejskiej. Zgodnie z tymi trendami nowe akty prawne przede wszystkim przedstawiają skutek, jaki musi zostać osiągnięty przez adresata normy (w tym przypadku – przedsiębiorców) i na niego przerzuca obowiązek zapewnienia zgodności z zasadami wynikającymi z aktu. W przypadku RODO podstawowym obowiązkiem Administratora danych jest zapewnienie zgodności z przepisami Rozporządzenia, tj. przetwarzanie danych w zgodzie z przepisami prawa.
Jedną z norm wynikających z RODO jest konieczność wykonania w pewnych sytuacjach przez Administratorów danych oceny skutków przetwarzania dla ich ochrony. Ocena skutków przetwarzania dla ich ochrony to swoiste podsumowanie (liczbowe, opisowe) danego rodzaju przetwarzania danych przygotowane przez przedsiębiorcę. Taka ocena musi zawierać „systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora, ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy”.
Kiedy ocena skutków?
Co do zasady wykonanie takiej oceny jest obowiązkowe, „jeżeli dany rodzaj przetwarzania danych – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Oznacza to, że nie każdy rodzaj przetwarzania danych (nie każda operacja przetwarzania) będzie wymagał wykonania oceny skutków przetwarzania dla ochrony danych, a jedynie te, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nasuwa się w tym momencie oczywiste pytanie, skąd przedsiębiorca ma wiedzieć, że dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co będzie obligować go do wykonania oceny skutków przetwarzania danych dla ich ochrony?
RODO wskazuje trzy kategorie rodzajów przetwarzania, które obligatoryjnie wymagają wykonania oceny skutków przetwarzania danych dla ich ochrony. Są to przypadki, w których dokonuje się „(a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, (b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa lub (c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie”.
Wpływ komunikatu PUODO na przedsiębiorców
Uzupełnieniem rodzajów operacji przetwarzania danych, które będą wymagały wykonania przez Administratorów oceny skutków przetwarzania danych dla ich ochrony, jest wykaz opublikowany przez Prezesa Urzędu Ochrony Danych Osobowych. Wykaz jest dużo bardziej szczegółowy i obszerniejszy niż wskazania zawarte w RODO. Nie stanowi on jednak katalogu zamkniętego sytuacji, w których wykonanie oceny skutków jest obligatoryjne – należy bowiem pamiętać, że Administrator danych ma obowiązek zawsze wykonać ocenę skutków, jeżeli dany rodzaj przetwarzania danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wykaz przygotowany przez PUODO ma charakter uzupełniający – tj. Administratorzy, którzy przetwarzają dane w sposób, który znajduje się w wykazie, mogą być pewni, że wykonanie oceny skutków przetwarzania danych dla ich ochrony będzie w tym przypadku obowiązkowe.
Szczególnie istotne w wykazie są pozycje, które mogą odnosić się do bardzo wielu podmiotów przetwarzających dane w podobny sposób. Przykładowo przetwarzanie danych w systemach monitorowania czasu pracy pracowników oraz wykorzystanych przez nich narzędzi (poczty elektronicznej, Internetu) zostało objęte obowiązkiem wykonania oceny skutków. Oznacza to, że takiej oceny będzie musiała dokonać większość pracodawców, bowiem systemy monitorowania czasu pracy oraz wykorzystania sprzętu służbowego są dziś powszechne.
Co robić?
Administratorzy powinni zweryfikować, czy sposób, w jaki przetwarzają dane, znajduje się w wykazie. Ci, którzy przetwarzają dane w inny sposób, powinni zweryfikować, czy ich sposób przetwarzania nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Niewykonanie oceny skutków, w sytuacji, gdy powinna ona być wykonana lub niewłaściwe wykonanie takiej oceny może zostać uznane za naruszenie RODO, a co za tym idzie, być obarczone dotkliwą karą finansową.
Autor: radca prawny Robert Nogacki, Kancelaria Prawna Skarbiec specjalizuje się w ochronie majątku, doradztwie strategicznym dla przedsiębiorców oraz zarządzaniu sytuacjami kryzysowymi.
