Ocena skutków w zakresie danych osobowych
Od kilku lat trwają prace nad rozporządzeniem w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Wprowadza ono obowiązek przeprowadzania oceny skutków przetwarzania danych dla ochrony prywatności osób fizycznych.
Bezpowrotnie minęły czasy, gdy najważniejsze dokumenty wystarczyło zamknąć w sejfie, aby mieć pewność, że są bezpieczne. Dziś większość produkowanych przez nas dokumentów nigdy nie zostaje przelana na papier, tylko stanowi zapis w wirtualnej przestrzeni.
Nie ma drogi odwrotu przed postępującą informatyzacją, co dotyczy nawet osób, które nie posługują się na co dzień internetem. Dane na ich temat są bowiem niezależnie od nich gromadzone w bazach internetowych różnych podmiotów. Rodzi to nowe wyzwania związane z ochroną danych osobowych.
Nowe ramy prawne ochrony danych osobowych w UE
Już kilka lat temu na forum Unii Europejskiej dostrzeżono potrzebę odświeżenia rozwiązań regulujących ochronę danych osobowych. Obecnie obowiązujące regulacje liczą bowiem około dwudziestu lat i nie nadążają za postępem technologicznym.
W efekcie powstał projekt nowych ram prawnych w zakresie ochrony danych osobowych, który jest od dłuższego czasu opracowywany w ramach prac legislacyjnych UE.
Rdzeń regulacji w tym zakresie ma stanowić rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Wprowadza ono obowiązek przeprowadzania oceny skutków przetwarzania danych dla ochrony prywatności osób fizycznych.
Ocena skutków w zakresie danych osobowych
Ocena skutków w zakresie danych osobowych (Privacy impact assessment, PIA) polega na dokonaniu oceny skutków konkretnego przedsięwzięcia dla prywatności.
Zgodnie z rozporządzeniem ocenę skutków w zakresie danych osobowych przeprowadza się w wypadku, gdy operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych z racji swego charakteru, zakresu lub celów. Zobowiązany do przeprowadzenia tego procesu jest administrator lub podmiot przetwarzający.
Rozporządzenie zawiera katalog operacji przetwarzania, które uznano za związane ze szczególnym ryzykiem, a mianowicie:
- profilowanie,
- przetwarzanie danych wrażliwych,
- przetwarzanie danych osobowych na potrzeby ochrony zdrowia,
- monitorowanie publicznie dostępnych miejsc,
- przetwarzanie danych osobowych w wielkoskalowych zbiorach danych dotyczących dzieci, danych genetycznych lub biometrycznych.
W rezultacie przeprowadzenia PIA powstaje raport PIA, który powinien zawierać przynajmniej ogólny opis przewidywanych operacji przetwarzania, ocenę ryzyk dla praw i wolności podmiotów danych, środki przewidywane w celu sprostania ryzykom oraz gwarancje, środki i mechanizmy bezpieczeństwa mające zagwarantować ochronę danych osobowych zgodnie ze standardami rozporządzenia.
Procedura PIA
Rozporządzenie nie zawiera szczegółowych wytycznych dotyczących przeprowadzania PIA, jednakże za modelową procedurę przeprowadzania tego badania uznaje się działanie zgodne z wytycznymi Privacy and Data Protection Impact Assessment Framework for RFID Applications opublikowanymi w styczniu 2011 r.
W ramach tego modelu wyróżnia się dwa stadia PIA: stadium oceny wstępnej i stadium oceny ryzyka.
Na etapie oceny wstępnej dokonuje się analizy przygotowawczej, która ma doprowadzić do odpowiedzi na pytanie, czy potrzebna jest analiza skutków w zakresie ochrony danych i prywatności. Jeśli z analizy przygotowawczej wynika, że podjęcie dalszego badania jest potrzebne, na tym etapie dokonuje się wyboru pomiędzy pełną a niepełną oceną skutków w zakresie ochrony danych i prywatności.
Decyzje na etapie oceny wstępnej są podejmowane w oparciu o czterostopniową skalę, która pomaga określić poziom szczegółowości niezbędny w ocenie ryzyka.
Z kolei stadium oceny ryzyka w omawianym modelu dzieli się na cztery etapy:
- Charakterystyka zastosowania danych – powinna w jak najbardziej wszechstronny sposób ukazywać pełen obraz zastosowania danych, ich otoczenia i granic systemowych. Chodzi tu przede wszystkim o rodzaj danych, system ich przechowywania i przesyłania itd.;
- Identyfikacja ryzyka – celem tego etapu jest określenie okoliczności, które mogą stanowić zagrożenie dla danych osobowych. Chodzi tu przede wszystkim o określenie rozmiaru ryzyka i prawdopodobieństwa jego wystąpienia oraz jego konsekwencji dla prywatności;
- Określenie sposobu kontroli oraz sformułowanie wskazówek co do dalszego postępowania;
- Udokumentowanie wyników oceny w raporcie PIA.
Raport PIA stanowi oficjalną formę sprawozdania z oceny skutków w zakresie ochrony danych i prywatności.
PIA w Polsce
Jak dotąd najbardziej znacząca ocena ryzyka dotyczyła płatności zbliżeniowych. W marcu 2013 r. GIODO zwrócił się do Komisji Nadzoru Finansowego o ocenę faktycznego i prawnego ryzyka wynikającego z płatności dokonywanych przy użyciu technologii NFC (Near Field Communication).
Wkrótce potem KNF wydała krótki raport o nazwie „Analiza poziomu bezpieczeństwa kart NFC z punktu widzenia ich posiadaczy”. Zwróciła w nim uwagę m.in. na problem nieautoryzowanego dostępu do danych, numerów kart i innych danych karty.
Następnie KNF opublikowała Rekomendację D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństw środowiska teleinformatycznego w bankach.
W rekomendacji zawarto zalecenia i wskazano środki, które mają na celu zminimalizowanie ryzyka związanego z technologią informacyjną, także w odniesieniu do płatności NFC.
Podsumowanie
Ponieważ projekt rozporządzenia przewiduje dwuletni okres vacatio legis na przystosowanie wszystkich państw UE do jego wymogów, nowe rozporządzenie UE regulujące ochronę danych osobowych prędko nie wejdzie w życie.
Jednakże już teraz możemy się spodziewać, że PIA będzie przeprowadzane coraz częściej również w Polsce.
Michał Cichoń, praktyka postępowań regulacyjnych kancelarii Wardyński i Wspólnicy