[…]

Kilka blogów w ramach tej serii poruszało kwestię istotności przeprowadzenia oceny skutków dla ochrony danych (DPIA) dla systemów SI, które będą przetwarzały dane osobowe. DPIA oferuje organizacjom okazję do rozważenia w jaki sposób oraz kiedy wykorzystują one systemy SI do przetwarzania danych osobowych oraz jakie potencjalne ryzyka mogą zaistnieć. ICO przygotował szczegółowe wytyczne w sprawie ocen DPIA, które wyjaśniają kiedy są one konieczne oraz jak je przeprowadzić. W tym blogu przedstawiono niektóre kwestie, które powinny być rozważone przez organizacje przy przeprowadzaniu DPIA przetwarzania danych osobowych w systemach SI.

DPIA zgodnie z RODO
RODO stanowi, że DPIA jest wymagana (przynajmniej):

  • przed zastosowaniem innowacyjnych rozwiązań technologicznych;
  • w przypadku przetwarzania szczególnych kategorii danych osobowych na dużą skalę; lub
  • w przypadku zautomatyzowanego podejmowana decyzji, profilowania lub gdy oczekuje się, że dojdzie do odmówienia świadczenia usługi na rzecz osoby.

Tak więc wykorzystanie SI do przetwarzania danych osobowych zwykle będzie spełniać przesłanki prawne wykonania DPIA.
Jeżeli wynik oceny wskazuje na istnienie wysokiego ryzyka rezydualnego dla osób, które nie może być ograniczone, administratorzy danych muszą przeprowadzić konsultacje z ICO.
Co należy ocenić w ramach DPIA?
DPIA musi opisywać charakter, zakres, kontekst oraz cele każdego przetwarzania danych osobowych.

Musi ona wyjaśniać w jaki sposób oraz dlaczego SI będzie wykorzystywana do przetwarzania danych. Musi ona szczegółowo przedstawiać:

  • jak dane będą zbierane, przechowywane oraz wykorzystywane;
  • objętość, zróżnicowanie oraz wrażliwość danych wejściowych;
  • charakter relacji administratora danych z osobami, których dane dotyczą;
  • zamierzone wyniki dla osób lub szerzej społeczeństw oraz administratora danych. 

W kontekście cyklu życia SI, DPIA będzie najlepiej służyć swojemu celowi, jeżeli zostanie podjęta w najwcześniejszym stadium projektu. Powinna ona zawierać przynajmniej następujące, kluczowe elementy:
1. Systematyczny opis przetwarzania

DPIA powinna obejmować systematyczny opis czynności przetwarzania, obejmujący przepływy danych oraz etapy, w których przetwarzanie oraz podejmowanie zautomatyzowanych decyzji przez SI może powodować skutek dla osób. Może ona również wyjaśniać wszelkie mające znaczenie wariacje oraz marginesy błędów.

Jeżeli zautomatyzowane decyzje są poddawane interwencji lub ocenie człowieka, powinno się wprowadzić procedury zapewniające, że mają one znaczenie a okoliczność, że decyzje mogą być cofnięte powinna być szczegółowo opisana.

Podczas DPIA organizacje powinny szukać oraz dokumentować opinie osób lub ich przedstawicieli w odniesieniu do zamierzonej operacji przetwarzania, chyba że istnieje ważny powód aby tego nie robić. Z tego względu ważnym jest, aby być w stanie opisać przetwarzanie w sposób dostępny dla tych, którzy będą konsultowani.

Jednakże opisanie czynności przetwarzania w ramach złożonego systemu SI może być trudne. Z tego względu, odpowiednie może być posiadanie dwóch wersji oceny. Pierwszej prezentującej obszerny opis techniczny dla specjalistów oraz drugiej zawierającej opis przetwarzania oraz wyjaśniającej logikę dotyczącą związku danych wejściowych oraz wyników wpływających na osoby na wyższym poziomie ogólności

DPIA powinno określać role oraz obowiązki administratora danych oraz każdego podmiotu przetwarzającego. Jeżeli systemy SI są częściowo lub w całości podzlecone zewnętrznym dostawcom obie organizacje powinny również ocenić czy nie doszło do współadministrowania, zgodnie z art. 26 RODO, a jeżeli tak to powinny w odpowiedni sposób współpracować
w ramach DPIA.

W przypadku korzystania z podmiotu przetwarzającego, niektóre bardziej techniczne elementy czynności przetwarzania mogą być przedstawione w DPIA poprzez wykorzystanie informacji od podmiotu przetwarzającego, np. diagramu przepływu z instrukcji podmiotu przetwarzającego. Jednakże administrator danych powinien co do zasady unikać kopiowania dużych fragmentów dokumentacji podmiotu przetwarzającego do swojej własnej oceny.

2. Oceniając konieczność oraz proporcjonalność

Wdrożenie systemu SI do przetwarzania danych osobowych musi opierać się na sprawdzonej zdolności tego sytemu do osiągnięcia określonych oraz prawnie uzasadnionych celów a nie na dostępności tej technologii. Oceniając konieczność w ramach DPIA organizacja może przedstawić dowody, że cele te nie mogą być osiągnięte w inny, rozsądny sposób.

Poprzez zastosowanie DPIA, organizacje mogą również wykazać, że przetwarzanie danych osobowych przez system SI jest działaniem proporcjonalnym. Przy ocenie proporcjonalności, interesy organizacji muszą być wyważone wobec praw oraz wolności osób. W związku z systemami SI, organizacje muszą wziąć pod uwagę wszelkie szkody dla osób, których dane dotyczą, które mogą być skutkiem błędu lub niedokładności algorytmów lub wykorzystanych zestawów danych.

Oceniając proporcjonalność w ramach DPIA organizacje muszą ocenić czy osoba, której dane dotyczą może rozsądnie oczekiwać, że przetwarzanie zostanie przeprowadzone przez system SI. Jeżeli systemy SI uzupełniają lub zastępują podejmowanie decyzji przez człowieka, DPIA powinna przedstawiać obok siebie porównanie dokładności człowieka oraz algorytmu, tak aby lepiej uzasadnić jej wykorzystanie.

Organizacje powinny również opisać wszelkie poczynione kompromisy, np. pomiędzy prawidłowością a minimalizacją danych oraz udokumentować metodologię oraz uzasadnienie tych działań.

3. Identyfikacja ryzyka dla praw oraz wolności

Wykorzystanie danych osobowych do rozwoju oraz wdrożenia systemów SI może nie stanowić ryzyka tylko dla prywatności oraz praw ochrony danych osób.

Przykład

Systemy uczenia maszynowego mogą reprodukować dyskryminację z historycznych wzorców zawartych w danych, co może naruszać prawo gwarantujące równość. Podobnie systemy SI, które zatrzymują publikacje treści w oparciu o analizę danych osobowych twórcy mogą wpłynąć na jego wolność wypowiedzi. W takich sytuacjach, administratorzy danych muszą ocenić odpowiednie ramy prawne wykraczające poza ochronę danych.

Proces DPIA pomoże organizacjom obiektywnie zidentyfikować odpowiednie ryzyka. Do każdego ryzyka powinno się przyporządkować punkt lub poziom, mierzony prawdopodobieństwem oraz stopniem poważności wpływu na osoby, których dane dotyczą.

4. Środki służące zaradzeniu ryzyku

Ważne jest, aby inspektorzy ochrony danych oraz inne osoby zawodowo zajmujące się zarządzaniem informacjami były zaangażowane w projekty SI od najwcześniejszego etapu. Należy ustanowić jasne oraz otwarte kanały komunikacji pomiędzy nimi a zespołami projektowymi. Zapewni to, że ryzyko będzie mogło być zidentyfikowane i będzie można mu zaradzić wcześnie w ramach cyklu życia SI.

Ochrona danych nie powinna być oceniana po fakcie, a profesjonalna opinia IOD nie powinna pojawiać się jako niespodzianka za pięć dwunasta.

DPIA może być wykorzystana do udokumentowania zastosowanych środków ochronnych, w celu zapewnienia, że osoby odpowiedzialne za rozwój, testowanie, sprawdzenie, wprowadzenie oraz monitorowanie systemu SI zostali odpowiednio przeszkoleni oraz rozumieją implikacje dla ochrony danych, związane z przetwarzaniem.

W DPIA można również udokumentować środki ochronne, zapewniające istnienie odpowiednich szkoleń w celu zmniejszania ryzyka związanego z błędem ludzkim, wraz ze środkami technicznymi zaprojektowanymi w celu zmniejszenia ryzyka dla bezpieczeństwa oraz prawidłowości systemu SI.

Po tym gdy zostaną wprowadzone środki w celu ograniczenia zidentyfikowanego ryzyka, DPIA powinna dokumentować rezydualne poziomy ryzyka powodowanego przez przetwarzanie. Jeżeli pozostaną one wysokie, należy zwrócić się do ICO w ramach uprzednich konsultacji.

5. „Żywy” dokument

Chociaż każda DPIA musi zostać przeprowadzona przed rozpoczęciem operacji przetwarzania, musi być ona rozumiana jako „żywy” dokument. Oznacza to, że należy dokonywać jej regularnego przeglądu lub ponownej oceny jeżeli charakter, zakres, kontekst lub cel przetwarzania z jakiegoś powodu się zmieni.

Na przykład, w zależności od zastosowania, może to dotyczyć zmian demograficznych docelowej grupy lub dostosowania zachowania ludzi po pewnym czasie w odpowiedzi na samo przetwarzanie.

[…]