Kiedy potrzeba sporządzenia Szacowania Wpływu na Prywatność (ang. Privacy Impact Assessment - PIA), zwanego też Oceną Skutków Dla Ochrony Danych, OSOD (ang. Data Protection Impact Assessment - DPIA)? Jest to obowiązek wynikający z Rozporządzenia Ogólnego o Ochronie Danych. Dotychczas sytuacja nie była dla wszystkich do końca jasna.

Zaczyna się to jednak powoli zmieniać, a początkiem zmian są opinie Belgijskiej Komisji Prywatności (pisałem o niej już tu), ale konkretniej - najnowsze wytyczne Grupy Roboczej 29 (WP29), upublicznione w kwietniu. To właśnie jej poświęcony jest ten tekst. Wytyczne (“guidelines”) WP29 są istotne - na nich w dużej mierze oprą się krajowi/państwowi - wybierz kontrolerzy ochrony danych (w Wielkiej Brytanii jest to ICO, w Polsce - GIODO i zastępujący go wkrótce UODO). Jest to też jeden z nielicznych dokumentów na poziomie UE, gdzie wprost sygnalizuje się komplikacje związane z wystąpieniem Wielkiej Brytanii z Unii Europejskiej, a także konsekwencjami dla firm mających siedzibę w UK.

Dokument ten jest bardzo interesujący, mimo tego że będzie on jeszcze podlegał zmianom. Odpowiada on też na szereg pytań.

Czym jest DPIA?

Ocena Skutków dla Ochrony Danych jest procesem mającym ocenić wpływ przetwarzania danych na prawa i wolności podmiotów, do których dane należą. W ramach tych mamy wiele punktów do analizy - przede wszystkim chodzi oczywiście o prawo do prywatności, ale także inne: wolność ekspresji, wolność słowa, itd. A zatem w uzasadnionych przypadkach ocena będzie musiała być bardzo szeroka. Jest to też zgodne z orzecznictwem Trybunału Sprawiedliwości.

DPIA jest procesem ciągłym, wbudowanym w projekt. Na poziomie podstawowym ma on wykazać zgodność z GDPR (i ewentualnymi innymi aktami, takimi jak ePrivacy). Najbardziej sensownym jest postrzeganie go jako procesu usprawniającego projektowanie systemów i po prostu dobrych praktyk prywatności. W wielu przypadkach przeprowadzenie DPIA jest wymagane - a niespełnienie wymogu obwarowane jest karami do 10 milionów euro (lub 2% rocznych obrotów firmy).

Jak robić DPIA

Stosuje się uznane dobre praktyki i metody, np. te odwołujące się do standardów ISO. Jest jednak wiele metodologii, a niektóre systemy i sektory (np. energetyka, Internet Rzeczy) wymagają własnych, specjalistycznych. WP29 potwierdza ten fakt.

Kiedy wymagane jest DPIA?

WP29 pokusiło się o stworzenie listy procesów o zwiększonym ryzyku, na której mamy profilowanie (np. na podstawie danych genetycznych), automatyczne podejmowanie decyzji, monitoring systematyczny, wrażliwe dane w użyciu, przetwarzanie danych w dużej skali (Big Data), łączenie dużych baz danych, przetwarzanie danych osób wrażliwych (np. dzieci, uchodźcy), “nowe technologie”, transfer danych poza UE, nieuniknione i nieoczekiwane przetwarzanie (np. systematyczne śledzenie w miejscu publicznym).

WP29 sugeruje, że jeśli dwa lub więcej z powyższych punktów są spełnione, system wymaga DPIA. Jeśli tylko jeden jest spełniony - być może DPIA nie jest potrzebne (nie jest to jednak
jednoznaczne, ostateczne sformułowanie - interpretować należy indywidualnie). Zawsze trzeba dokonać analizy wstępnej i podjąć decyzję, czy pełne DPIA jest potrzebne, czy też nie.
Wymóg analizy DPIA istnieje dla wszystkich systemów po wejściu w życie GDPR (Maj 2018), wiadome jednak jest, że wymogowi podlegają też systemy wdrożone przed tą datą. Wynika to z faktu, że DPIA podlega okresowym aktualizacjom, a jednym z kryteriów są “zmiany w otoczeniu systemu”.

DPIA to proces

Ocena Skutków dla Ochrony Danych jest procesem, trwającym w czasie, mającym charakter ciągły.
Prywatność też jest zresztą procesem, podobnie jak bezpieczeństwo.

Kto powinien wykonywać DPIA/OSOD?

Kompetentni ludzie, z pomocą właściwych interesariuszy w organizacji - czyli project managerów, Inspektora Ochrony Danych (DPO), ludzi od bezpieczeństwa informacji itd. Co ważne - DPO nie jest
osobą, która musi wykonać DPIA. Często zresztą nie może. DPIA często jest procesem bardzo skomplikowanym, wymagającym złożonej wiedzy technologicznej, która może wykraczać poza kompetencje DPO w danej organizacji.

A zatem - dla dużych organizacji będą to wewnętrzne “Zespoły Prywatności”, czasem będzie to działanie ad-hoc, a czasem - zaangażowanie ludzi z zewnątrz, w ramach konsultacji.
WP29 radzi też, że gdy to zasadne, niezależni ludzie z zewnątrz powinni być zaangażowani. Chodzi o
ekspertów z dziedzin takich jak prawo, technologie, prywatność, etyka, bezpieczeństwo.

Wbrew temu, co chciałyby przeforsować niektóre kancelarie prawne, DPIA nie będzie zatem procesem
stricte legalistycznym i opartym na “odhaczaniu punktów z listy”. Nie będzie też wcale procesem prostym; wymaga bowiem odniesienia do aktualnego stanu wiedzy.

Czy opublikować DPIA?

Tak. W uzasadnionych przypadkach dobrą praktyką stanie się publiczne udostępnianie wyników Oceny Skutków dla Ochrony Danych. Punkt ten jest o tyle ciekawy, że buduje on zaufanie do
produktów, systemów, instytucji.

DPIA w rozumieniu GDPR ma wymierne przełożenie na kwestie transparentności, która ma
duże przełożenie na reputację organizacji, firm, usługodawców.

Moje DPIA wskazuje na wysokie ryzyko! Co robić?

Przeanalizuj ryzyko. W razie wątpliwości, istnieje potrzeba konsultacji z instytucją odpowiedzialną za ochronę danych. W Polsce jest nią obecnie GIODO, które zmienia się w UODO. W korespondencji trzeba też załączyć raport DPIA, którego dotyczą wątpliwości.

Zapraszam też do mojej pogłębionej analizy w języku angielskim, dostępnej pod tym linkiem.