(WP 248) Wytyczne dotyczące oceny skutków dla ochrony danych

Wytyczne dotyczące oceny skutków dla ochrony danych są jednym z bardziej wyczekiwanych dokumentów Grupy Roboczej Art. 29. Ocena skutków dla ochrony danych – mimo że nie jest zupełnie nowym mechanizmem w systemie ochrony danych (czego przykładem są chociażby zalecenia Komisji Europejskiej w zakresie oceny wpływu na prywatność systemów inteligentnego opomiarowania smart grid) – stanowi bardzo duże wyzwanie dla administratorów danych oraz organów nadzorczych. Jest bowiem jednym z kluczowych elementów zapewniania zgodności z przepisami rozporządzenia, a jego realizacja wymaga bardzo wnikliwej analizy wszystkich procesów przetwarzania danych u danego administratora, ze szczególnym uwzględnieniem ryzyka związanego z tym przetwarzaniem.

Wielu administratorów danych zadaje sobie pytanie, kiedy właściwie należy rozpocząć przeprowadzanie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA). Czy wobec prowadzonych już operacji przetwarzania, które będą kontynuowane pod reżimem ogólnego rozporządzenia o ochronie danych osobowych (RODO), ocena skutków jest niezbędna?

Grupa Robocza Art. 29 zdecydowanie zaleca dokonanie oceny skutków dla operacji przetwarzania już trwających przed 25 maja 2018 r. Niemniej, zdaniem europejskich organów ochrony danych, przeprowadzenie oceny skutków dla ochrony danych jest niezbędne dopiero dla operacji prowadzonych po 25 maja 2018 r. lub operacji, które zostały znacząco zmienione. Wymóg dokonania DPIA dotyczy operacji przetwarzania spełniających kryteria wskazane w artykule 35 i rozpoczętych po tym, jak RODO zacznie mieć zastosowanie w dniu 25 maja 2018 r., czytamy w wytycznych. Ponadto ocena skutków miałaby miejsce, gdy w operacji przetwarzania dochodzi do istotnej zmiany, kiedy np. została wprowadzona do użytku nowa technologia, dane osobowe są wykorzystywane w innym celu lub też administrator danych zdecydował o rozpoczęciu transferu tych danych do państwa trzeciego. Jak podkreślono w wytycznych, w tego typu przypadkach przetwarzanie staje się w rezultacie nową operacją przetwarzania danych i może wymagać DPIA.

2018-05-10