arrow-rightemailfacebook-circlefacebookinstagramlinkedin-circlelinkedinsearchtelephonetwitter
08.12.2020

Ocena ryzyka przetwarzania danych osobowych w RODO

Agata Rowicka

Pojęcie ryzyka nie jest jasno zdefiniowane przez rozporządzenie RODO. Jednak można przyjąć, że zawsze gdy mowa o ryzyku związanym z przetwarzaniem danych, chodzi o prawdopodobieństwo wystąpienia naruszeń.  

Zgodnie z rozporządzeniem RODO administrator może być zobowiązany do wykonania oceny skutków przetwarzania dla ochrony danych osobowych. Podstawę dla tego obowiązku stanowi artykuł 35 ust. 1 rozporządzenia, który mówi, że „jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.

Decyzja o przeprowadzeniu oceny skutków dla ochrony danych należy więc do administratora, jednak rozporządzenie wymienia sytuacje, w których przeprowadzenie jej może być niezbędne. Jest tak w przypadku, gdy przetwarzanie danych uwzględnia systematyczną
i kompleksową ocenę czynników osobowych odnoszących się do osób fizycznych, gdy na dużą skalę przetwarzane są szczególne kategorie danych osobowych, a także w przypadku systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Zgodnie z powyższym administrator powinien wstępnie określić, czy sposób w jaki przetwarza dane może powodować ryzyko określone w art. 35 ust. 1. Jeżeli wstępna ocena wskaże, że ryzyko istnieje, należy postąpić zgodnie z przepisem artykułu 32 ust. 1 rozporządzenia, który mówi, że „uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych
o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku…”

Ocena skutków dla ochrony danych powinna zawierać przynajmniej systematyczny opis planowanych operacji  i celów przetwarzania, ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw osób fizycznych i określenie środków planowanych w celu zaradzenia ryzyku.

Oznacza to, że efektem analizy ryzyka powinno być zastosowanie dobranych przez administratora środków zabezpieczających dane osobowe. Rozporządzenie wymienia, jakie mogą to być środki – między innymi pseudonimizacja i szyfrowanie danych, zdolność do ciągłego zapewnienia poufności, zdolność do szybkiego przywrócenia dostępności czy regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych.

Należy podkreślić, że oprócz redukcji ryzyka związanego z naruszeniami, przeprowadzenie oceny skutków przetwarzania dla ochrony danych może być dowodem na dochowanie przez administratora lub podmiot przetwarzający należytej staranności, co może mieć wpływ na postępowanie organu nadzorczego w przypadku stwierdzenia naruszeń.