W tym artykule przyjrzymy się bliżej kolejnej funkcji jaką w organizacji powinien pełnić Inspektor Ochrony Danych. Mianowicie IOD powinien stać na straży praw i wolności osób fizycznych, których dane są przetwarzane.
Jednym z celów ustanowienia przepisów RODO było wzmocnienie ochrony praw i wolności osób fizycznych, których dane są przetwarzane przez organizacje (administratorów). Najbardziej chronione jest prawo do ochrony danych osobowych, gdyż jego naruszenie może mieć szczególny wpływ również na inne prawa i wolności osób fizycznych.
Widmo wysokich kar pieniężnych jakie grożą organizacjom za naruszenia przepisów RODO sprawiło, że naruszenia ochrony danych osobowych stały się tematem bardzo medialnym. Między innymi dlatego coraz częściej można usłyszeć o różnego rodzaju incydentach bezpieczeństwa oraz o związanych z nimi negatywnych skutkach. Na przykład ostatnio było głośno o naruszeniu ochrony danych przetwarzanych przez Ticketmaster UK Limited, w wyniku którego atakujący uzyskał dostęp do danych dotyczących kart kredytowych blisko 9,4 mln osób (w tym numerów kart, dat ich ważności i numerów CRV). Doprowadziło to do nadużyć w zakresie blisko 66 000 płatności (na marginesie warto wspomnieć, iż w/w firma została ukarana przez brytyjski organ nadzorczy karą w wysokości 1,25 mln £).
Powyższy przykład dobitnie obrazuje, czym może skutkować naruszenie ochrony danych osobowych. Jednakże straty finansowe to tylko jeden z wielu negatywnych rodzajów konsekwencji jakie mogą spotkać osoby fizyczne wskutek incydentów bezpieczeństwa dotyczących ich danych osobowych. Jak wskazano w motywie 75 RODO:
Ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
W związku z powyższym stwierdzeniem nie trzeba bardziej tłumaczyć, dlaczego priorytetem Inspektora Ochrony Danych powinien być obszar praw i wolności osób, których dane są przetwarzane. Zastanówmy się więc raczej w jakich sytuacjach IOD w swoim działaniu powinien kierować się tą perspektywą i jak powinien robić to najlepiej.
Sytuacje wymagające analizy ryzyka dla praw i wolności osób fizycznych
Inspektor Ochrony Danych swoje działania powinien opierać na wynikach analizy ryzyka dla praw i wolności osób fizycznych w szczególności w następujących przypadkach:
wspierając administratora w doborze środków ochrony danych, zgodnie z art. 32 ust. 1 RODO;
przy przeprowadzaniu oceny skutków dla ochrony danych, o której mowa w art. 35 RODO;
dokonując oceny występowania obowiązku zgłoszenia naruszenia ochrony danych osobowych oraz obowiązku zawiadomienia osób, których dane dotyczą (art. 33 RODO oraz art. 34 RODO);
oceniając zasadność przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes administratora (art. 6 ust. 1 lit f RODO);
uczestnicząc w realizacji uprawnień przysługujących podmiotom danych na mocy RODO.
Dobór odpowiednich środków ochrony
Zgodnie z art. 32 RODO, administrator wybierając środki zabezpieczające powinien uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz również ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Organizacja, która wyznaczyła IOD będzie liczyła na jego wsparcie w doborze właściwych zabezpieczeń. Przetwarzanie, w którym będzie występować istotne ryzyko dla praw lub wolności osób fizycznych wymaga zastosowania bardziej zaawansowanych środków ochrony tak, aby maksymalnie zmniejszyć prawdopodobieństwo zmaterializowania się ryzyka.
Niemniej jednak na stosowaniu bardziej wyszukanych zabezpieczeń ochrona danych nie musi się kończyć – IOD może wskazać działania mające na celu ograniczenie ryzyka, np. może odradzać korzystanie z funkcji, które nie są kluczowe dla realizacji procesu przetwarzania, a stanowią dodatkowe źródło ryzyka.
W przywołanym we wstępie przypadku naruszenia, ukarany podmiot powinien był lepiej ocenić ryzyko i nie powinien wprowadzać dodatkowej funkcji w postaci chatbot’u od zewnętrznego dostawcy na stronie internetowej, gdzie użytkownicy dokonywali płatności online.
Ocena skutków przetwarzania dla ochrony danych
Właściwa analiza ryzyka potencjalnego naruszenia praw i wolności osób fizycznych umożliwi Inspektorowi Ochrony Danych identyfikację sytuacji, w której będzie występował obowiązek przeprowadzenia oceny skutków dla ochrony danych, o którym mowa w art. 35 RODO. Prawidłowe wykrywanie potrzeby realizacji wspomnianego obowiązku pozwoli IOD lepiej wywiązywać się ze swoich zadań (IOD powinien informować administratora o potrzebie realizacji obowiązków określonych w przepisach RODO), a administratorowi pomoże działać w zgodzie z przepisami RODO.
Swoją drogą warto wspomnieć, iż ocena skutków przetwarzania dla ochrony danych stanowi dla Inspektora Ochrony Danych wspaniałe narzędzie wspomagające proces podejmowania decyzji w sprawach związanych z przetwarzaniem danych osobowych. Dlatego wskazane jest, aby IOD przeprowadzał ocenę skutków (w mniejszym lub większym stopniu) nawet częściej niż wymagają tego przepisy RODO (nie tylko w przypadkach, gdy jest to obowiązkowe).
8 lipca 2019 r. w Monitorze Polskim opublikowany został Komunikat Prezesa UODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Organ wskazał, iż przetwarzanie spełniające przynajmniej dwa ze wskazanych kryteriów będzie wymagać oceny skutków dla ochrony danych. Niemniej jednak w niektórych przypadkach administrator danych może uznać, że przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków. Im więcej kryteriów spełniać będzie przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności podmiotów danych.
Ocena występowania obowiązku zgłoszenia naruszenia ochrony danych osobowych oraz obowiązku zawiadamiania osób, których dane dotyczą
To kolejny obszar, w którym kompetencje IOD w obszarze praw i wolności osób fizycznych mogą okazać się niezwykle pomocne dla prawidłowego spełnienia obowiązków administratora, w związku z przetwarzaniem danych osobowych.
W sytuacji, gdy dochodzi do naruszenia ochrony danych osobowych, aby ocenić, czy będzie występować obowiązek jego zgłoszenia do Prezesa UODO lub nawet obowiązek zawiadomienia osób, których dane dotyczą, IOD powinien ocenić wagę zaistniałego naruszenia. Jeżeli ocena zdarzenia będzie wskazywać, iż jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, to nie będzie potrzeby dokonania notyfikacji do organu nadzorczego. Z drugiej strony, jeżeli naruszenie ochrony danych osobowych będzie powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to (oprócz zgłoszenia naruszenia do UODO) Inspektor Ochrony Danych powinien wskazać administratorowi również potrzebę realizacji obowiązku zawiadomienia osób, których dotyczy incydent.
IOD w swoich analizach wagi naruszenia posłużyć się może metodyką opracowaną przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (dalej ENISA) we współpracy z niemieckim organem nadzorczym ds. ochrony danych osobowych i wolności informacji. Metodyka przedstawia wzór, na podstawie którego można obliczyć wagę zaistniałego naruszenia. Zgodnie z wytycznymi, na wagę naruszenia składają się następujące czynniki:
kontekst przetwarzania (DPC – Data Processing Context)
łatwość identyfikacji (EI – Ease of Identification )
okoliczności zdarzenia (CB – Circumstances of breach)
Natomiast wzór na wagę naruszenia przedstawia się następująco:
Waga naruszenia = DPC x EI + CB
Posiłkując się wytycznymi, szacujemy wartości w/w składowych i podstawiamy pod wzór. Wynik wskaże wagę naruszenia ochrony danych osobowych.
Warto rozważyć stosowanie metodyki ENISA, gdyż cieszy się ona dużym uznaniem, w tym przede wszystkim Urzędu Ochrony Danych Osobowych. Więcej na temat tego kiedy i w jaki sposób dokonywać zgłoszenia naruszenia do UODO napisaliśmy tutaj.
Ocena zasadności przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes
Zgodnie z art. 6 ust. 1 lit. f RODO, administrator może przetwarzać dane osobowe „do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.”
Zatem kluczowym warunkiem oparcia przetwarzania danych osobowych na prawnie uzasadnionym interesie administratora lub osoby trzeciej jest jego nadrzędność wobec legalnych interesów oraz praw lub wolności osób, których dane dotyczą.
Zgodnie z wytycznymi motywu 47 RODO, administrator powinien dokonać oceny występowania prawnie uzasadnionego interesu dla każdego celu przetwarzania, który miałby być realizowany na podstawie w/w przesłanki oraz wziąć pod uwagę występowanie relacji pomiędzy nim a podmiotem danych oraz zbadać czy osoby, których dane dotyczą, mogą się spodziewać przetwarzania ich danych w tym celu.
Wskazówki, jak poprawnie przeprowadzić ocenę zasadności przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes, można znaleźć w opublikowanym na naszym blogu obszernym artykule opracowanym na podstawie wytycznych brytyjskiego organu nadzorczego (ICO − Information Commissioner’s Office).
Realizacja uprawnień przysługujących na mocy RODO
Na koniec warto wspomnieć, iż Inspektor Ochrony Danych spełnia funkcję strażnika praw i wolności osób fizycznych, dbając o prawidłową realizację uprawnień przysługujących im na mocy przepisów RODO (art. 15 – 22 RODO). Co więcej, w niektórych przypadkach prawidłowa realizacja uprawnień będzie wymagała analizy ryzyka dla praw i wolności innych osób fizycznych. Będzie to miało miejsce zwłaszcza w przypadku wniosków o dostarczenie kopii danych osobowych (zgodnie z art. 15 ust. 4 RODO) oraz w przypadku wniosku o realizację prawa do przenoszenia danych (zgodnie z art. 20 ust. 4 RODO.
Podsumowanie
Inspektor Ochrony Danych stoi na straży praw i wolności osób, których dane są przetwarzane. Jest to kolejna niezwykle ważna funkcja jaką IOD powinien pełnić, wspierając administratora w prawidłowym przetwarzaniu danych osobowych. Prawidłowo pełniona rola może uchronić administratora od finansowych kar administracyjnych, a podmioty danych od naruszenia ich praw i wolności. Co więcej, w związku z tym obszarem zainteresowania, IOD jest osobą zaufania publicznego i bardzo często staje się punktem kontaktowym nawet dla osób, których danych przetwarzania nie nadzoruje (być może niebawem napiszemy artykuł i o tym 😊).