Kto nie uniknie oceny skutków dla ochrony danych
Najwięcej wątpliwości budzi ocena skutków dla ochrony danych - zgodnie uznali uczestnicy Kongresu RODO zorganizowanego przez wydawnictwo Wolters Kluwer.
Art. 35 ust. 4 RODO wprowadza nową, dotychczas nieznaną w polskim systemie prawnym, czynność. Zgodnie z nim, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator musi dokonać oceny skutków planowanych operacji dla ochrony danych osobowych. O jakich prawach i wartościach mowa?
- Naruszenie zasad ochrony danych może prowadzić przykładowo do naruszenia prywatności, kradzieży tożsamości, straty finansowej, dyskryminacji, naruszenia dobrego imienia, zagrożenia autonomii woli jednostki – tłumaczyła Paulina Gałęzowska, prawniczka z PwC Legal.
Uczestnicy Kongresu RODO pytali, co w praktyce znaczy wysokie ryzyko? Paweł Litwiński, adwokat, partner w kancelarii Barta Litiwński podczas kongresu zauważył, że w tej kwestii z pomocą przyszedł Generalny Inspektor Ochrony Danych Osobowych (GIODO). Przygotował propozycję wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych (danych z ang. Data Protection Impact Assessment, DPIA).
Na liczącej pięć stron liście GIODO wyróżnił 10 rodzajów operacji i podał blisko 40 konkretnych przykładów działań wymagających przeprowadzenia DPIA.
Więcej: E-sklepy, ubezpieczycieli, firmy marketingowe czeka gruntowna analiza systemów informatycznych >>
Pojawia się jednak pytanie, co z procesami w toku, tymi, które już trwają. Czy one też wymagają przeprowadzić taką ocenę?
– Z jednej strony wydaje się, że nie ma obowiązku przeprowadzenia oceny skutków wstecz, dla procesów, które są w toku – mówił Paweł Litwiński. – Z drugiej strony Grupa Robocza Art. 29, która m.in. wydaje wytyczne w sprawie stosowania RODO, zachęca do przeprowadzanie oceny skutków.
Paulina Gałęzowska uważa, że warto przeprowadzić DPIA, bo to bardzo dobre ćwiczenie na przyszłość. – Od 2016 r., kiedy przyjęto RODO, do 25 maja 2018 r. mamy tzw. okres dostosowawczy. To czas, w którym warto sprawdzić, co musimy zrobić, z czym możemy mieć problemy, czas na analizy przed godziną zero, czyli dniem, od krorego nowe zasady będą stosowane – mówi Paulina Gałęzowska.
DPIA na pewno będzie konieczne gdy mamy do czynienia z systematyczną kompleksową oceną czynników osobowych opartą na zautomatyzowanym przetwarzaniu, w tym profilowaniu, będącą podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną.
Takim przykładem jest np. profilowanie wykorzystywane w bankach. Okazuje się bowiem, że banki sprawdzają, kiedy kupujemy alkohol. Jeżeli rano, to jest jeden z czynników podwyższających nasze ryzyko kredytowe Jeśli zaś kupujemy zakładki filcowe pod meble, to podwyższa naszą zdolność kredytową.
- To jest trywialny przykład, ale pokazuje, że profilowanie ma realny wpływ na wiele rzeczy – mówi Gałęzowska.
