Ocena Skutków Dla Ochrony Danych. Pierwsze wytyczne
Jedną z najważniejszych zmian, przed którymi staną firmy i organizacje będzie konieczność systematycznego włączania prywatności i ochrony danych w ramach rozwiązań technologicznych i organizacyjnych.
Ważnym aspektem tych zmian będzie konieczność przeprowadzania procesów Ocen Skutków dla Prywatności (ang. Privacy Impact Assessment; OSP/PIA) i Oceny Skutków dla Ochrony Danych (ang. Data Protection Impact Assessment; DPIA/OSOD - Obu określeń w języku polskim i angielskim będę używał zamiennie). To narzędzia zaprojektowane do pomiaru poziomów prywatności i bezpieczeństwa systemów (aplikacji, produktów, itp.) i sugerowania ich możliwych ulepszeń.
Firmy będą musiały zmierzyć się z włączeniem PIA/DPIA w standardowe procesy biznesowe dla produktów, aplikacji i systemów - a w przypadku konieczności - szukać zewnętrznej pomocy. Obowiązkowe wdrożenie tych procesów musi być zakończone w maju 2018. W praktyce - stanie się to jednak dużo wcześniej, w ciągu 2017.
Proces Oceny Szacowania Skutków dla Prywatności jest już dość dobrze znany - jest bardzo popularny w rozwiniętych gospodarkach elektronicznych. Mniej wiadomo o Ocenie Skutków dla Ochrony Danych (DPIA/OSOD). Jest to koncepcja wprowadzona przez unijne Rozporządzenie Ogólne o Ochronie Danych, dokument, który będzie miał duży wpływ na bezpieczeństwo i prywatność w skali świata. Dotychczas niewiele wiadomo o DPIA, brak oficjalnych wytycznych, podręczników i opisów, choćby ze strony <a href=”http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083”>Grupy Roboczej 29 (WP29), Europejskiej Rady Ochrony Danych, ENISY czy innych Agencji Ochrony Danych (DPA), takich jak polski Generalny Inspektor Ochrony Danych Osobowych (GIODO). Szczęśliwie, ulega to zmianie - dzięki Belgijskiej Komisji Prywatności (odpowiednik GIODO). Belgijska Komisja Prywatności jest ciałem bardzo aktywnym, chętnie współpracującym z profesjonalistami, konsultantami i badaczami prywatności. Głośnym echem odbiła się sprawa, którą Komisja prowadziła przeciwko Facebookowi . Jest to wpływowa, szanowana agencja zajmująca się prywatnością i ochroną danych osobowych.
Przeanalizowałem ten dokument, poniżej zaś prezentuję moją analizę, dodając do niej komentarze i własną interpretację. Gdzie uznałem to za właściwie - recenzuję i komentuję propozycje Komisji, dodając też pewne sugestie od siebie. Drobna uwaga - nie ograniczam się jedynie do tłumaczenia wprost. Analizuję na podstawie mojej wiedzy, umiejętności i doświadczenia zawodowego w dziedzinie prywatności i bezpieczeństwa.
Wytyczne i założenia DPIA opisane w propozycji Komisji są w wielu przypadkach bardzo ogólne, nie dotyczą też ściśle spraw technicznych. Mimo to, są jednak bardzo ciekawe. Wielu badaczy prywatności i ludzi zajmujących się tematem zawodowo podejrzewało podobnego kształtu proponowanych wytycznych (co nie znaczy “identycznego”!). Warto rzucić okiem, jak ten proces będzie działał w praktyce, na poziomie ogólnym. Ważna uwaga: jest to nadal propozycja, poddana pod konsultacje (wyślę swoją opinię). Opisane wytyczne nie są jeszcze szeroko przyjęte w Europie. Na to jeszcze trochę poczekamy. Jest to jednak pierwszy dokument o Ocenie Skutków na Ochronę Danych (DPIA, OSOD) i zdecydowanie będzie miał duży wpływ na to, jak ten proces będzie wyglądał w praktyce. Sam raport w języku francuskim można znaleźć tutaj. Jeśli kogoś interesuje - francuska nazwa oficjalna “Oceny Skutków dla Ochrony Danych” to Analyse d'Impact Relative à la Protection des Données, w skrócie AIPD).
Na wysokim poziomie ogólności, dokument mówi o:
- wymaganych elementach Oceny Skutków dla Ochrony Danych (DPIA)
- kiedy trzeba przeprowadzić DPIA
- kto bierze udział w procesie DPIA
Konieczność wykonywania DPIA wynika z bezpośredniego wymogu stawianego przez zasadę przejrzystości. Firmy i organizacje będą zmuszone wykazać, że zasady prywatności i ochrony danych są traktowane poważnie i stosowane w praktyce. Sam proces DPIA opiera się na metodach szacowania ryzyka i pomaga zmierzyć i poddać ocenie poziom prywatności - a gdzie to pożądane, także proponować zmiany projektowe. DPIA jest procesem szeroko stosowanym do dużych systemów i produktów jako całości. Aby był efektywny - musi być przeprowadzany przez ludzi z głęboką wiedzą, umiejętnościami i doświadczeniem w bezpieczeństwie i prywatności. DPIA to nie jest szablon, w którym odhacza się kolejne punkty. Nie wydaje się, aby jakiekolwiek DPIA wykonane wykonywane bez głębokiego zrozumienia działania analizowanego systemu, tylko na zasadzie “odhaczania punktów” - mogło być traktowane poważnie podczas późniejszej weryfikacji. Jest to zresztą istotnym aspektem procesu DPIA: weryfikowalność ustaleń. Moim zdaniem ta specyficzna cecha jest jedną z głównych zasad tego procesu.
Warto też pamiętać, że DPIA analizuje procesy przetwarzania danych. Dla uproszczenia, przetwarzanie danych to ogólne określenie na: pozyskiwanie, przechowywanie, wykorzystywanie i usuwanie danych. W związku z tym, DPIA analizuje aspekty transmisji, przechowywania i operacji na danych.
Analiza zasad DPIA/OSOD Belgijskiej Komisji Prywatności
Zacznijmy od Ogólnego Rozporządzenia o Ochronie Danych. Artykuł 35.7 wymienia podstawowe wymagania, które musi spełniać i zawierać DPIA:
- systematyczny opis planowanych operacji przetwarzania danych i ich celów
ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów - ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą
środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych
DPIA musi także zawierać:
- cele przetwarzania danych
- interesariuszy, czyli ludzi odpowiedzialnych za projekt będących w niego zaangażowanych
- kategorie i typy prywatnych danych przetwarzanych w ramach systemu
- itd.
Opisy te powinny być jasne i klarowne. Jasność jest bardzo ceniona w DPIA. Moim zdaniem, DPIA nie może zawierać niejednoznaczności. Dobre DPIA jest proste, a jego konkluzje podane do wiadomości w przejrzysty i czytelny sposób.
Proporcjonalność
DPIA musi zawierać analizę proporcjonalności. Innymi słowy: czy wykorzystywane dane są faktycznie potrzebne dla osiągnięcia celów?
Konieczne jest ustalenie:
- co jest celem przetwarzania danych
- jakie są cele przetwarzania danych w konkretny sposób, ażeby osiągnąć zamierzone cele
- czy istnieje kilka możliwości osiągnięcia celów: potrzeba zatem wymienić dlaczego używana jest konkretnie wybrana metoda
Ostatni punkt jest bardzo ważny i zmusi podmioty kontrolujące dane (firmy, organizacje, które je przetwarzają) do szerszej analizy sposobów, w jaki przetwarzają dane. Będą musieli zadać sobie pytanie: czy istnieją prostsze (zwykle oznacza to “mniej ryzykowne”) drogi do osiągnięcia konkretnego celu?
Analiza Ryzyka
W ogólności, jeśli mowa o ryzykach - odnoszą się one do “praw i wolności” osób. Odnosi się do konkretnych zapisów Ogólnego Rozporządzenia Ochrony Danych, RODO:
“… mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną; jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa; jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych; lub jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci; jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.”
W praktyce “wolności i praw” jest więcej, co jest potwierdzone przez Grupę Roboczą 29, gdzie podkreśla się też: wolność słowa, wolność myśli, wolność przemieszczania się, zakaz dyskryminacji, prawo do wolności, sumienia, religii.
Kolejne typy powiązanych ryzyk: kradzież tożsamości, straty finansowe, reputacji, utrata poufności danych wrażliwych, nieautoryzowane odwrócenie pseudonimizacji, itp.
Co szczególnie ważne, większość tych wyrażeń ma bardzo szerokie znaczenie, i bardzo często mogą być one bezpośrednio przetłumaczone na język zagadnień technologii. Mówiąc zatem o “wolności do wyrażania” można mieć na myśli zagadnienia związane np. z “szyfrowaniem”, “kontrolą dostępu”, “autoryzacją” itp., lub wręcz samą celowością przechowywania danych (zwłaszcza, jeśli zaprojektowaną w sposób niedbały) - na poziomie bardzo technicznym. W niedawnym orzeczeniu, <a href=”http://curia.europa.eu/juris/document/document.jsf?text=&docid=186492&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=380469”>Europejskiego Trybunału Sprawiedliwości potwierdzono, że aspekty prywatności wynikają bezpośrednio z naruszeń “wolności ekspresji”:
“retencja przesyłanych danych i danych lokalizacyjnych może mieć wpływ na sposób wykorzystywania środków komunikacji elektronicznej, a co za tym idzie, na korzystanie przez użytkowników z ich niezbywalnych praw wolności wyrazu”
Większość z wymienionych ryzyk odnosi się nie wprost do bardzo złożonych zagadnień kontroli bezpieczeństwa i prywatności (technologicznych, organizacyjnych) i projektów: systemów komunikacji, przechowywania danych. Trzeba więc przygotować się na głęboką analizę bezpieczeństwa i prywatności.
Metodologia DPIA/OSOD
DPIA opiera się na metodach szacowania ryzyka. Ryzyka muszą być rozpoznane, zidentyfikowane i ocenione. Analiza ryzyka opiera się na prawdopodobieństwie (wystąpienia) i wpływie (czyli na konsekwencjach ewentualnej materializacji ryzyka). Można tu użyć standardowej metodologii ISO. Ryzyko może być nieodłączne (jeśli mu się nie zapobiegnie, można to odczytać jako: nic nie zrobimy i miejmy nadzieję, że wszystko będzie w porządku, jakoś to później wyjaśnimy naszemu CEO i GIODO) lub rezydualne (pomimo strategii zabezpieczeń, jaki poziom ryzyka wciąż występuje?)
Analiza ryzyka musi wziąć pod uwagę zakres i kontekst przetwarzania. Każda możliwość i scenariusz przetwarzania danych (związana z pozyskiwaniem, używaniem, usuwaniem danych) musi być wzięta pod uwagę.
Ważnym elementem DPIA jest wymóg wymienienia strategii zmniejszających ryzyko. W praktyce mogą to być rozwiązania technologiczne stosowane do zmniejszenia ryzyka. Na przykład, w celu ochrony komunikacji może być używane szyfrowanie, pewien kryptosystem, skonfigurowany w określony sposób, z odpowiednimi, właściwymi ustawieniami.
Ryzyka prywatności powinny zostać zidentyfikowane, systemy i strategie ochrony prywatności (lub ich brak) - opisane, i dopiero później można oszacować ryzyko.
Wolność wyboru metody
Wytyczne pozostawiają wolność wyboru metodologii DPIA. Belgijska Komisja Prywatności nie nalega na jakąś konkretną metodę. Zaleca się tylko stosowanie do ogólnie przyjętych dobrych praktyk (np. standardy ISO lub szczegółowe zasady branżowe). To dobrze, zwłaszcza, że ISO pracuje właśnie nad standaryzacją procesów oceny prywatności.
Odpowiedzialność wyboru metodologii spoczywa oczywiście na podmiocie przetwarzającym dane (firmie, organizacji). W praktyce trzeba jednak zaznaczyć, że metodologia powinna być dostosowana do konkretnych warunków, wymogów i potrzeb. Zdecydowanie polecam użycie specjalistycznych metod przystosowanych do oceniania konkretnych typów systemu. Przykładowo, są różnice metodologiczne przy ocenie ekosystemów mobilnych, webowych, Internetu Rzeczy, czy systemów przemysłowych (elektrownia, sieć sensorów). Tylko dobrze dostosowana metodologia DPIA doprowadzi do oceny wysokiej jakości.
Można scharakteryzować pewne ważne punkty każdego DPIA:
- Zarys kontekstu (uwzględniając czynniki wewnętrzne i zewnętrzne)
- Specyfikacja kryteriów oceny ryzyka dla praw i wolności osób
- Identyfikacja i analiza ryzyka
- Definicja ryzyka, które jest do przyjęcia
- Identyfikacja odpowiednich sposób unikania ryzyka (powinno być rozumiane jako zarówno techniczne jak i organizacyjne)
Według Belgijskiej Komisji Prywatności, dobre DPIA ma następujące cechy:
- Jest dostosowane i specyficzne. Nie ma jednego uniwersalnego rozwiązania. Jest to zawsze indywidualny proces (ale pewne procedury mogą być oczywiście wykorzystywane ponownie)
- Dostępność. Wynik DPIA powinien być łatwy do zrozumienia i jednoznaczny. DPIA powinien być napisany jasnym językiem, ponieważ grupą odbiorców raportu są nie tylko specjaliści, ale także zarząd i inni ludzie
- Dobrze zdefiniowana skala ryzyka
- Często powinien być przeprowadzony po konsultacjach z odpowiednimi interesariuszami
Kto jest zaangażowany w konsultacje dla DPIA/OSOD?
Przeprowadzanie DPIA/OSOD bardzo często wymaga zaangażowania szerokiego grona ludzi związanych z analizowanym projektem czy systemem. W ramach interesariuszy można wymienić ludzi takich, jak managerowie projektu, CIO, dyrektorzy bezpieczeństwa komputerowego/sieci, Inspektor Ochrony Danych/Prywatności, Administrator Bezpieczeństwa Informacji, a nawet deweloperzy systemu. W ogólności - chodzi o ludzi ze znajomością uwarunkowań technologicznych i organizacyjnych. To Inspektor Ochrony Danych powinien pomóc w identyfikacji kluczowych osób i wspomóc proces przeprowadzania DPIA/OSOD. Nie oznacza to, że Inspektor Ochrony Danych jest zawsze osobą kompetentną/właściwą, by taki DPIA/OSOD przeprowadzić.
Dobrej jakości DPIA wymaga danych do analizy. I to nie tylko wkładu o zagadnieniach technologicznych takich jak dokumenty projektowe - ale także informacji od konkretnych osób, odpowiedzialnych za system. Zespoły wykonujące DPIA/OSOD będą te informacje analizowały na wielu poziomach. Często zaangażowani będą w ten proces konsultanci zewnętrzni by pomóc prace doświadczeniem i umiejętnościami - zwłaszcza, gdy w ramach firmy wdrażanie procesów DPIA/OSOD w danej firmie jest dopiero w fazie początkowej.
DPIA/OSOD Wymaga Uaktualnień
Ważna uwaga: Ocena Skutków dla Occhrony Danych (DPIA/OSOD) podlega okresowej ocenie i może wymagać uaktualnienia, lub nawet przeprowadzenia od początku.
Kiedy DPIA musi zostać przeprowadzony obowiązkowo?
Teraz część najbardziej interesująca. Belgijska Komisja Prywatności podaje listę przykładowych sytuacji, gdy przeprowadzenie procesu Oceny Skutków Dla Ochrony Danych (DPIA/OSOD) jest obowiązkowe. To świetnie, bo widzimy tego typu listę po raz pierwszy. OSOD przeprowadzane jest wtedy, gdy ryzyko jest znaczące, np. gdy w grę wchodzi użycie nowych technologii. Ale cóż to znaczy w oczach Komisji?
Ważna informacja: lista ta nie jest wyczerpująca. Nie oznacza to, że inne typy systemów i rodzaje przetwarzania danych nie wymagają przeprowadzenia DPIA/OSOD. Według RODO, DPIA/OSOD zawsze musi zostać przeprowadzony dla systemów wyczerpujących charakter opisanych wymogów RODO. Oznacza to, że poniższa lista powinna być traktowana jako przykładowa. Jest to lista początkowa i oczywiście będzie rozbudowywana. Dodatkowo, DPIA/OSOD może być przeprowadzony zarówno dla poszczególnych projektów, jak i projektów dużych, zawierających szereg mniejszych podprojektów i komponentów. Integracja kilku systemów w jeden większy może spowodować wyższe ryzyko. Integracja dwóch systemów z wysokimi standardami prywatności nie oznacza, że połączony system również ma te pożądane cechy.
Ocena Skutków dla Ochrony danych musi być obowiązkowo przeprowadzona w następujących przypadkach:
- Jeśli w użyciu są dane genetyczne. Uwaga startupy biotechnologiczne/bioinformatyczne! Podobnie dla centrum danych (“banki danych”) medycznych.
- Jeśli prywatne dane są zbierane od stron trzecich (np. firm) i dane te są używane w celu zdecydowania czy należy umożliwić lub uniemożliwić dostęp do pewnego rodzaju usługi (np. systemy automatycznego podejmowania decyzji).
- Jeśli dane są używane do szacowania poziomu finansowego użytkownika, albo do stworzenia “profili użytkowników” w celu oceny “ryzyka” (np. w celu osiągnięcia tego o czym mowa w punkcie poprzednim). Ma zastosowanie do profilowania i dyskryminacji.
- Jeśli przetwarzanie danych może nieść ryzyko dla zdrowia.
- Jeśli używane są dane odnoszące się do sytuacji osobistej (lub innego rodzaju wrażliwe dane), jeśli są używane do innych celów niż ten do których je uzyskano
- Jeśli przesyła się, ujawnia lub upublicznia dane odnoszące się do dużej ilości ludzi
- Jeśli istnieje potrzeba oceny i przetwarzania prywatnych aspektów osobistych, np. do stworzenia analiz opartych na: statusie finansowym, zdrowotnym, osobistych preferencjach, zainteresowaniach, niezawodności, zachowaniu (analiza behawioralna wymaga DPIA/OSOD!), danych o położeniu (czy aplikacja twojej firmy używa geolokalizacji/GPS lub sensorów ruchu?)
- Jeśli profilowanie stosowane jest na dużą skalę
- W przypadku przetwarzania danych dzieci na dużą skalę, jeśli ma ono miejsce w celu innym, niż dane zostały zebrane. Tu uwaga: nie chodzi jedynie o fakt wyrażenia zgody na przetwarzanie, tylko na uzyskanie.
- Jeśli są przewidywane rozwiązania mające mieć zastosowanie do dużych środowisk, np. całych sektorów pracowniczych bądź innych grup funkcyjnych, gdzie używane są dane wrażliwe. Wygląda na punkt mający zastosowanie np. do produktów śledzących zachowania pracowników.
- Jeśli utrwala się informacje o wiedzy, uzdolnieniach lub stanie zdrowia psychicznego dotyczącego dzieci, szczególnie w celu monitorowania postępu dzieci, na przykład aby ustalić poziom edukacji dziecka (np. czy uczy się w szkole podstawowej, średniej, itp). Chodzi zatem o technikę profilowania nie wprost.
DPIA/OSOD będzie szeroko wymagany w większości przypadków, gdzie używane są nowe technologie i sposoby przetwarzania danych. Bezpośrednie umieszczenie na liście danych genetycznych jest dobrą propozycją. Prywatność i ochrona danych genetycznych jest skomplikowanym zagadnieniem. Podobnie rzecz ma się z analizą behawioralną, która niesie ze sobą cały szereg ryzyk.
DPIA/OSOD Niewymagany
Chociaż RODO wymaga, aby wszystkie systemy przetwarzające dane brały pod uwagę ryzyka i miały odpowiednią warstwę kontroli prywatności i ochrony danych, Belgijska Komisja Prywatności zamieściła listę systemów, gdzie formalny proces DPIA nie musi być koniecznie przeprowadzany.
Konstrukcja tej listy jest bardzo interesująca. Opisy przetwarzania danych, gdzie DPIA/OSOD nie jest wymagany, są bardzo długie, o wiele dłuższe i bardziej szczegółowe niż w przypadku listy gdzie DPIA/OSOD musi być zrobiony obowiązkowo.
Podkreśla to fakt, że zdefiniowanie sytuacji, gdy DPIA/OSOD może nie być wymagany jest zadaniem trudnym, nawet dla Agencji Ochrony Danych. Sprawia to, że zastanawiam się - czy firmy/organizacje zdecydują się wziąć takie ryzyko na siebie?
Poniższe rodzaje przetwarzania, zgodnie z Komisją, niekoniecznie wymagają DPIA/OSOD:
- Przetwarzanie danych związanych wyłącznie z systemami wypłat, jeśli dane używane są wyłącznie w tym konkretnym celu i jeśli dane przechowywane są nie dłużej niż jest to niezbędne, aby wykonać te zadania
- Przetwarzanie danych związanych wyłącznie z zarządzaniem kadrami firmy, jeśli dane są niezwiązane ze zdrowiem podmiotu danych. Uwaga: w praktyce będzie to trudne do osiągnięcia, wystarczy sobie wyobrazić sytuację, gdy choćby jeden pracownik miał np. status osoby niepełnosprawnej, wg tego opisu przypadek ten może wtedy podchodzić pod wymóg DPIA/OSOD.
- Księgowość firmy, jeśli w użyciu wyłącznie do tego celu. Jeśli dane używane są wyłącznie do celów księgowości i nie są przechowywane dłużej, niż jest to konieczne. Dane te nie mogą być też udostępniane osobom trzecim (o ile nie ma prawnego zobowiązania).
- Przetwarzanie danych administracją udziałowców - jeśli wyłącznie w tym celu i dotyczy tylko osób, wobec których jest to konieczne
- Przetwarzanie danych przez fundację, związek czy innego rodzaju organizację non-profit - wedle wymogów zwyczajowych działań, tylko jeśli przetwarzanie dotyczy danych członków tej organizacji (albo ludzi, z którymi utrzymywany jest kontakt)
- Jeśli dane uzyskiwane są tylko i wyłącznie do rejestracji gości, jako część kontroli dostępu, jeśli w użyciu są tylko: imię i nazwisko, adres biznesowy gościa, identyfikator pracodawcy, tablica rejestracyjna pojazdu gościa, nazwa, sekcja i funkcja osoby odwiedzanej oraz czas wizyty. Dane te nie mogą być przechowywane dłużej, niż jest to potrzebne
- Jeśli dane są używane przez instytucje edukacyjne w celu kontaktu z uczniami/studentami w związku z zagadnieniami nauczania, itp. (dotyczy także potencjalnych przyszłych uczniów/studentów), pod warunkiem, że dane nie są uzyskane z podmiotów trzecich i dane przekazywane są podmiotom trzecim tylko w zakresie objętym regulacjami. Kontakty mogą być prowadzone tylko przez pewien wyszczególniony czas
Opisy operacji, gdzie DPIA/OSOD nie jest obowiązkowy, są bardzo szczegółowe, często zawierają też obwarowania “jeśli” oraz “nie dłużej niż potrzeba”. W efekcie końcowe brzmienie jest takie, że nawet jeśli DPIA może nie być wymagane, pewna szczątkowa ocena będzie jednak potrzebna ocena, czy DPIa jest konieczny. Decyzja o tym, by nie przeprowadzać DPIA/OSOD to decyzja formalna, podpisuje się pod nią kierownictwo firmy/organizacji. Podwykonawcy zwykle również powinni być tu uwzględniani.
Ten proces decyzyjny można nazwać procesem Ustalaniem Progu Oceny Skutków dla Ochrony Danych (ang. Data Protection Threshold Assessment). Jest to proces ustalenia, czy DPIA jest konieczne.
Podsumowanie
Proces Oceny Skutków dla Ochrony Danych pomaga firmom zaprojektować systemy z dobrym poziomem prywatności i ochrony danych. OSOD pomaga zmierzyć poziom prywatności.
Dzięki Belgijskiej Komisji Prywatności, otrzymaliśmy wgląd w pierwsze oficjalne wytyczne dotyczące procesu przeprowadzania OSOD i sposobu umiejscowienia w ramach procesów biznesowych. Bez wątpienia wdrożenie OSOD będzie wymagało szerokich zmian w myśleniu o prywatności i podejściu do tej problematyki; prywatność stanie się czynnikiem ważnym.
DPIA/OSOD może zostać wykonany przy użyciu różnych metodologii i podejść, dostosowanych do szczegółów projektowych i wymagań. Dobrze przeprowadzona Ocena Skutków dla Ochrony Danych stanie się wyróżnikiem rynkowym.