Analiza ryzyka naruszenia praw i wolności osób fizycznych w świetle RODO

23 maja 2018

Opublikowano przez:

KATEGORIA: RODO informator

Analiza ryzyka naruszenia praw i wolności osób fizycznych w świetle RODO

Od 25 maja br. przepisy Unijnego Rozporządzenia 2016/679[1] nakładają na administratora danych osobowych obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z postanowieniami RODO. Administrator przed podjęciem decyzji o wyborze środków, które chce zastosować w celu zabezpieczenia danych osobowych, powinien uwzględnić charakter, zakres, kontekst i cele przetwarzania, a także – cechujące się różnym prawdopodobieństwem i wagą[2] – ryzyko naruszenia praw lub wolności osób fizycznych[3].

Jak się zatem wydaje, administrator powinien rozpocząć proces oceny bezpieczeństwa danych osobowych od inwentaryzacji czynności, które wiążą się z przetwarzaniem danych osobowych, a następnie dokonać identyfikacji ryzyk związanych z przetwarzaniem, by w dalszej części przejść do analizy ryzyka m.in. pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia.

Dokonując oceny ryzyka w zakresie bezpieczeństwa danych, administrator powinien wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych[4].

Unijne Rozporządzenie 2016/679 nie definiuje pojęcia ryzyka, choć wielokrotnie się nim posługuje. W celu zrozumienia istoty pojęcia ryzyka naruszenia praw i wolności osób, których dane dotyczą, należy odnieść się m.in. do motywu nr 75 RODO, w którym podkreślono, że ryzyko (o różnym prawdopodobieństwie i różnej wadze zagrożeń) naruszenia praw lub wolności osób, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych. Dotyczy to w szczególności przypadków, gdy przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną. Ponadto, ryzyko takie występuje, jeżeli:

  • osoby, których dane dotyczą mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowym;
  • przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie, przekonania światopoglądowe lub przynależność do związków zawodowych;
  • przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa,
  • oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się w celu tworzenia lub wykorzystywania profili osobistych,
  • przetwarzane są dane osobowe osób wymagających szczególnej opieki, zwłaszcza dzieci, jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Narzędziem służącym do dokonania oceny konkretnego prawdopodobieństwa i powagi ryzyka jest – zgodnie z motywem nr 90 RODO – wykonanie oceny skutków dla ochrony danych osobowych[5]. Wynikiem dokonanej oceny skutków jest ustalenie konkretnego prawdopodobieństwa wystąpienia wysokiego ryzyka oraz odpowiedni dobór środków technicznych i organizacyjnych. W przypadku, gdy dokonana przez administratora ocena skutków wykaże, że operacje przetwarzania powodują wysokie ryzyko dla praw lub wolności osób fizycznych, którego to ryzyka administrator nie może zminimalizować przy wykorzystaniu dostępnych narzędzi – technologii oraz środków przeznaczonych na pokrycie kosztów wdrożenia – to przed podjęciem czynności przetwarzania ma obowiązek skonsultować się z organem nadzorczym[6].

Na marginesie należy jedynie wskazać, że nie należy utożsamiać ryzyka w rozumieniu RODO z pojęciem ryzyka wykorzystywanym w innych dziedzinach. Pierwsze pojęcie należy odnieść do praw lub wolności podmiotów danych osobowych, drugie ukierunkowane jest na organizację.

[1] Dalej jako: RODO.

[2] Por. art. 25 ust. 1 RODO.

[3] Dalej jako: ryzyko.

[4] Zob. motyw nr 83 zdanie 3 RODO.

[5] Z uwagi na ramy niniejszej publikacji proces oceny skutków dla ochrony danych osobowych nie zostanie omówiony; zob. art. 35 RODO.

[6] Zob. motyw nr 84 zd. 3 RODO.

Zobacz pełny artykuł