Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?

Rozporządzenie RODO wprowadziło podejście oparte na ryzyku (ang. risk-based approach, szacowanie ryzyka RODO) w odniesieniu do działań podejmowanych przez administratora danych osobowych. Oznacza to, że ustawodawca nie wskazuje konkretnych rozwiązań, które pozwalają na ocenę adekwatności zastosowanych rozwiązań, ale administrator oraz podmiot przetwarzający dane sami dokonują wyboru właściwego postępowania o skutków dla ochrony danych osobowych przesyłanych ze względu na wysokie ryzyko naruszenia praw, które są systematyczne monitorowanie jako opis planowanych operacji przetwarzania, który należy przeprowadzić ocenę skutków (ocena skutków wdrażania systemów przetwarzania danych w celu scharakteryzowanie przetwarzania danych na operacje przetwarzania z ryzykiem naruszenia praw).

Punktem wyjścia jest tutaj art. 24 RODO, zgodnie z którym administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z rozporządzeniem i żeby taką zgodność dało się wykazać. Wdrożone rozwiązania muszą być regularnie uaktualniane i każdorazowo uwzględniać:

• stan wiedzy technicznej;
• koszt wdrożenia;
• charakter;
• zakres;
• kontekst;
• cele przetwarzania danych;
• ryzyko praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.

Wstępną (ogólną) ocenę ryzyka należy przeprowadzić każdorazowo na etapie poprzedzającym rozpoczęcie przetwarzania danych. Artykuł 32 ust. 1 RODO zawiera w tym zakresie jedynie wskazówki co do charakteru podejmowanych działań zapewniających bezpieczeństwo, które mogą objąć np.:

• pseudonimizację i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne mierzenie, testowanie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając ryzyko bezprawnego przetwarzania danych osobowych administrator oraz podmiot przetwarzający – na podstawie art. 32 ust. 2 RODO uwzględniają ryzyko wynikające z przypadkowych lub celowych działań bezprawnych (np. niezgodnego z prawem zniszczenia lub modyfikacji danych). Jak wskazano w motywie 83 szczególne znaczenie ma ryzyko mogące prowadzić do uszczerbku fizycznego, szkód niemajątkowych lub majątkowych. Ocena skutków dla ochrony w celu złagodzenia wszelkich zagrożeń administratorów danych osobowych których dane wymagają przeprowadzenia oceny skutków i dokonanie oceny.

Pod pojęciem zakresu należy rozumieć nie tylko rodzaje przetwarzanych danych, ale także ich ilość oraz liczbę podmiotów, których dane są przetwarzane. Im tych kategorii lub podmiotów jest więcej, tym ocena ryzyka powinna zostać przeprowadzona staranniej tak, aby uwzględnić związane z tym trudności.

Z kolei kontekst przetwarzania to nic innego, jak okoliczności faktyczne i prawne, które towarzyszą tym czynnościom – od stopnia ingerencji w prawa i wolności osób fizycznych przez sposób wykorzystania rozwiązania przyjętego przez administratora, aż po czas przetwarzania danych osobowych.

Dokonując szacowania ryzyka administrator lub podmiot przetwarzający powinien upewnić się, że czyni zadość zasadzie minimalizacji przetwarzania wyrażonej w art. 5 ust. 1 lit b RODO.;

O ile szacowanie ryzyka to czynność, którą musi wykonać każdy administrator, potrzeba wdrożenia DPIA (ang. Data Privacy Impact Assessment) – czyli oceny skutków dla ochrony danych – pojawia się wyłącznie w określonych przypadkach, o których mowa w art. 35 RODO.

Ocenę DPIA należy przeprowadzić, jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele, wiąże się z dużym prawdopodobieństwem wysokiego ryzyka naruszenia praw i wolności osób fizycznych. Taka sytuacji pojawia się zwłaszcza wtedy, kiedy do przetwarzania danych osobowych wykorzystywane są nowe technologie (np. sztuczna inteligencja, usługi chmurowe). W szczególności taką oceną należy przeprowadzić w przypadku:

• wykorzystania zautomatyzowanych metod (np. profilowania) do systematycznej i kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, jeżeli stanowi to podstawę do decyzji wywołujących skutki prawne wobec tych osób;
• przetwarzania na dużą skalę danych wrażliwych (np. dotyczących stanu zdrowia) lub danych dotyczących wyroków skazujących i czynów zabronionych;
• systematycznego monitorowania miejsc publicznych.

Należy pamiętać, że administrator każdorazowo musi samodzielnie ocenić, czy w danej sytuacji pojawia się potrzeba DPIA. Nie ma też jednej, uniwersalnej metodyki, która pozwoliłaby na wykonanie takiej oceny. Prezes UODO wskazuje na konieczność dopasowania tej metodyki do wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych.

Do przykładów, kiedy przeprowadzenie DPIA jest niezbędne, Grupa Robocza w art. 29 zalicza m.in. ocenę zdolności kredytowej klienta przez bank na podstawie wyciągu z BIK, automatyczne odrzucenie wniosku kredytowego przez system informatyczny, ale też identyfikacja biometryczna osób fizycznych czy wykorzystanie technologii geolokalizacyjnej.

Konieczność przeprowadzenia DPIA będzie też potrzebna, jeśli administrator zmienił sposób świadczenia danej usługi tak, że zaczęła ona spełniać kryteria typujące ją jako podstawę dla przeprowadzenia oceny. Takim przypadkiem będzie np. wprowadzenie zupełnie nowego systemu informatycznego zaprojektowanego z myślą o przetwarzaniu danych klientów.

W ocenie DPIA istotną rolę odgrywa nie tylko administrator, ale także Inspektor Ochrony Danych, który służy radą, przygotowuje zalecenia oraz weryfikuje poprawność przeprowadzenia DPIA. Ocena DPIA powinna zawierać przynajmniej następujące elementy:

• opis planowanych operacji i celów przetwarzania, a jeśli ma to uzasadnienie – opis prawnie uzasadnionych celów realizowanych przez administratora;
• ocenę, czy planowane operacje są niezbędne i proporcjonalne do celów;
• ocenę ryzyka naruszenia praw i wolności osób, które dane dotyczą;
• opis środków mających na celu zminimalizowanie ryzyko związane z przetwarzaniem danych.