Z punktu widzenia cyberbezpieczeństwa kluczowe znaczenie ma bezpieczeństwo przetwarzania danych. W jaki sposób przedsiębiorca powinien się zabezpieczyć, aby nie naruszyć przepisów o ochronie danych osobowych? Czy każdy przedsiębiorca musi wdrożyć takie same środki ochronne? Czy sytuacja się zmienia, jeśli prowadzisz działalność z wykorzystaniem nowych technologii?
Na wstępnie kilka słów tytułem wyjaśnienia, aby Czytelnik miał pewność co oznaczają używane pojęcia. Administrator danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Zatem jeśli prowadzisz własną działalność bądź jesteś podmiotem publicznym i zbierasz dane określając ich cel (np. sprzedajesz produkty w swoim sklepie internetowym bądź gromadzisz dane pacjentów w placówce medycznej) to najprawdopodobniej jesteś administratorem danych osobowych i przepisy nakładają na Ciebie szereg obowiązków. W tym tekście dowiesz się jak ocenić skutki przetwarzania przez Ciebie danych.
Kluczową kwestią dla bezpieczeństwa przetwarzania danych jest to, że zapewnienie bezpieczeństwa danych nie jest czynnością jednorazową, a procesem. Elementem wspomnianego procesu jest ocena ryzyka. Wspomniana ocena ryzyka jest szczególnie istotna, jeżeli dane są przetwarzanie przy użyciu nowych technologii, wskutek czego dochodzi m.in. do profilowania. Pokrótce, profilowanie to proces polegający na zbieraniu informacji o osobie na podstawie jej działań w sieci. Przykładowo, w branży e-commerce profilowanie polega na zbieraniu informacji o konsumencie w celu dopasowania produktu do jego preferencji.
Kogo dotyczy ocena skutków?
Zatem jeśli prowadzisz działalność albo jesteś podmiotem publicznym, który opiera swoje funkcjonowanie na poniższych elementach jesteś zobowiązany dokonać oceny skutków dla ochrony danych. Wskazane kategorie działania to:
- Systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu (np. profilowaniu) i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco na nią wpływających. W praktyce na tego rodzaju przetwarzaniu danych mogą opierać się podmioty w branży e-commerce. Przykładowo może to polegać na gromadzeniu oraz analizowaniu danych klienta takich jak jego wiek, płeć, data urodzenia, miejsce zamieszkania, zainteresowania, zachowanie na stronie czy ostatnio dokonane zakupy. Dzięki tym informacjom właściciel sklepu internetowego może przesyłać klientowi bardziej zindywidualizowaną ofertę, która z większym prawdopodobieństwem go zainteresuje.
- Przetwarzanie na dużą skalę szczególnych kategorii danych osobowych szczególnej kategorii (m.in. dane biometryczne, zdrowie, seksualność) lub danych dotyczących wyroków skazujących i innych naruszeń prawa. W praktyce w tę kategorię wpisują się wszelkiego rodzaju szpitale i ośrodki medyczne przetwarzającą dane na dużą skalę.
- Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Prawodawca europejski precyzuje, że monitorowanie uzasadniające prowadzenie oceny skutków może być prowadzone w szczególności za pomocą urządzeń optyczno-elektronicznych (zob. motyw 91 RODO). W praktyce w tę kategorię może wpisać się przewoźnik autobusowy, który instaluje system kamer w celu monitorowania zachowań kierowcy oraz pasażerów albo sklep montujący kamery w przestrzeni sprzedażowej.
Warto podkreślić, że dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony. Inspektor może zasugerować administratorowi odpowiednie rozwiązania organizacyjno-prawne w celu usprawnienia procesu.
Co oznacza ocena skutków?
Wiemy już w jakich sytuacjach administrator powinien dokonać oceny skutków dla ochrony danych. Warto również wskazać co taka ocena powinna zawierać. Zgodnie z RODO ocena zawiera co najmniej:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Warto pamiętać, że w razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.
Jeśli masz jakiekolwiek pytania, przykładowo nie masz pewności czy Twoja działalność powinna dokonać oceny skutków dla ochrony danych bądź masz jakiekolwiek inne wątpliwości to zapraszamy do kontaktu.