Niezbędność

Termin, określenie, wymaganie często pojawiające się w RODO. Co ciekawe mimo posiadania niezłego narzędzia, wielu specjalistów nie dostrzega możliwości jego zastosowania w szerszym aspekcie. Mowa o teście niezbędności (ocenie konieczności przetwarzania), który jest składową oceny prawnie uzasadnionego interesu administratora, czyli możliwości zastosowania przesłanki z art. 6.1.f. 

Struktura testu niezbędności

W naszych warsztatach posługujemy się narzędziami opracowanymi przez brytyjski organ nadzorczy – ICO, z czasów gdy Wielka Brytania była częścią Unii Europejskiej. Składa się z dosłownie kilku pytań, których odpowiedzi dostarczą nam informacji, czy przetwarzanie jest niezbędne. Podstawowe pytania w teście:

• Czy przetwarzanie danych pozwala rzeczywiście uzyskać założony efekt?
• Czy przetwarzanie danych jest proporcjonalne do celu?
• Czy cel może zostać osiągnięty, jeśli będzie mniejszy zakres danych lub bez przetwarzania danych?
• Czy cel może być osiągnięty w inny, bardziej oczywisty sposób?
• Czy cel może być osiągnięty w sposób mniej ingerujący w prywatność i ochronę danych?

Są to podstawowe pytania, a sam test można rozwijać i dostosowywać do potrzeb swojej organizacji.

Zespół oceniający

Ważnym aspektem związanym z wykonaniem tego testu jest skład zespołu, który będzie dokonywał oceny. Nie może być tak, że jest to tylko specjalista ochrony danych czy IOD, bo ich cel jest zupełnie inny – ochrona osoby fizycznej w związku z przetwarzaniem danych. Natomiast dane mają być przetwarzane do realizacji celów organizacji naszej lub innej i to przedstawiciele działów, które realizują konkretne zadania powinni odpowiadać na te pytania. IOD lub specjalista jest tylko konsultantem lub nadzorcą nad spełnieniem wymagań RODO. Ale nie może być żandarmem, o czym pisaliśmy w artykule:

• Żandarm czy doradca?

Dlaczego to takie ważne?

Przetwarzanie danych osobowych odbywa się w procesach biznesowych (głównych, pomocniczych lub zarządczych). Próba narzucania rozwiązań i ograniczeń “bo RODO” jest najgorszym ze sposobów funkcjonowania, nie tylko dlatego, że biznes i tak zrealizuje swoje cele. Przede wszystkim dlatego, że specjalista  czy manager ds. ochrony danych osobowych czy IOD nie są ekspertami w tych procesach, nie realizują ich, nie znają ich zawiłości. A stąd już dwa kroki do dwóch systemów – jeden dla organu (stojący na półce) i drugi, nieformalny dla biznesu. Tak niestety przez lata działały systemy zarządzania oparte o ISO i niestety czasem (często?) ten sam model występuje w RODO. 

Jak realizować ocenę testu?

Z doświadczenia w realizacji takich testów wynika, że tzw. biznes, czyli osoby realizujące procesy pomocnicze, zarządcze i główne wcale nie uciekają od RODO (pod warunkiem, że nie mówimy im, że to RODO). Mój model działania:

1. Wyślij ankietę wraz z informacją, że będziemy chcieli taką ocenę zrobić. Adresatem niech będą osoby, w których procesach dochodzi (twoim zdaniem) do przetwarzania danych w których dochodzi do niezbędności (większość tych, które nie są oparte na zgodzie).
2. Zaproponuj spotkanie, informując, że chcesz poznać proces. 
3. Zacznij spotkanie od wprowadzenia przez osobę, która realizuje proces biznesowy w to jakie są kroki, jakie są dane osobowe. 
4. Wstępnie zdefiniuj dane osobowe w tych procesach i przedstaw je osobie, z którą wykonujesz test. 
5. Przedyskutuj niezbędność, w oparciu o test powyżej.
6. Zakończcie pracę w formie szkicu analizy. 
7. Spotkajcie się po tygodniu (lub dwóch, ale nie dłużej) i ponownie dokonajcie oceny. 
8. Zamknijcie test podpisami. Tu zawsze mamy dwie główne rubryki – wykonujący ocenę oraz IOD (jeśli jest). Trzecie pole to akceptacja przedstawiciela administratora danych. 

Podsumowanie

Partnerskie podejście do ochrony danych osobowych daje naprawdę dobre rezultaty. Powyższy przebieg pracy zazwyczaj kończy się stwierdzeniem – to RODO to nie takie straszne. I tego wam życzę. 

PS w przypadku niektórych osób, które mogą mieć znamiona Żandarma z cytowanego wyżej artykułu mogą się pojawić objawy wyparcia. Spokojnie, po kilku czynnościach z rzeczywistym udziałem osób odpowiadających za procesy i ochronę danych w nich przetwarzanych objawy ustępują.