Administrator oceni skutki przetwarzania danych

Tomasz Mamys, project manager RODO w Sage.
materiały prasowe

Dodatkowy obowiązek dla korzystających z nowych technologii.

Materiał powstał we współpracy z firmą Sage

Rozporządzenie o ochronie danych osobowych (RODO) wprowadza na podstawie art. 35 ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang.: data protection impact assessment, DPIA). To nowy obowiązek, który ciąży na administratorze danych osobowych (ADO).

Niektóre rodzaje przetwarzania danych osobowych mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W takiej sytuacji administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Grupa robocza art. 29 w wytycznych dotyczących DPIA określa „ryzyko” jako scenariusz opisujący zdarzenie i konsekwencje, oszacowany pod względem powagi i prawdopodobieństwa ryzyka. Natomiast – „zarządzanie ryzykiem” definiuje jako skoordynowane działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod względem ryzyka.

Proces oceny skutków dla ochrony danych powinien zawierać co najmniej:

1) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora (jeżeli służy ona ich realizacji);

2) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz

4) środki planowane w celu zaradzenia ryzyku, w tym mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia RODO.

W praktyce prawdopodobnie przed zakończeniem oceny skutków dla ochrony danych każdy z etapów będzie wielokrotnie powtarzany.

To ważne narzędzia służące do realizacji celu rozliczalności: DPIA pomaga ADO nie tylko w przestrzeganiu wymogów RODO, ale również w wykazaniu, że podjęto odpowiednie środki w celu zapewnienia zgodności z rozporządzeniem.

Przeprowadzenie DPIA jest więc obowiązkowe, gdy operacje przetwarzania obejmują w szczególności:

– zastosowanie nowych technologii,

– są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych,

– stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.

Istnieją też szczególne przypadki. Firma A oferuje swoim klientom system monitoringu wizyjnego, obejmujący też miejsca publiczne; firma B świadczy usługi przetwarzania danych osobowych pacjentów szpitala zawarte w ich dokumentacji medycznej; z kolei firma C realizuje usługi profilowania klientów w sklepach internetowych, portalach internetowych. Każdy z tych podmiotów będzie zobowiązany do przeprowadzenia DPIA – ich działania odpowiadają wskazanym w RODO kategoriom przetwarzania danych podlegającym szczególnej analizie, to jest gdy:

– administrator dokonuje systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco na nią wpływających;

– na dużą skalę przetwarzane są szczególne kategorie danych osobowych lub danych osobowych dotyczących wyroków skazujących;

– masowo i systematycznie monitorowane są miejsca dostępne publicznie.

Więcej informacji w opinii i wytycznych grupy roboczej art. 29 dotyczących oceny skutków dla ochrony danych (WP 248) na: http://www.giodo.gov.pl/pl/1520285/10078.

Mogą Ci się również spodobać

Porowate Powłoki Przyszłości

Naukowcy z Wydziału Mechanicznego Politechniki Koszalińskiej pod kierownictwem prof. nadzw. dr. hab. inż. Krzysztofa ...

Ten pracodawca wie, kiedy uprawiasz seks

Amerykański koncern Activision Blizzard płaci pracownikom za używanie i dostęp do danych z aplikacji ...

Sukces Hyper Poland w Wielkiej Brytanii

Polski startup technologiczny Hyper Poland przeprowadził udaną rundę finansowania poprzez brytyjską platformę crowdfundingu udziałowego ...

Polscy specjaliści IT już pakują walizki

Eksperci nowych technologii są dużo bardziej otwarci na przeprowadzkę za granicę niż specjaliści z ...

Kafelki i baterie hitami internetu

Nie ubrania czy motoryzacja, a kategoria dom i ogród jest liderem polskiego e-handlu. Jej ...

Huawei surowo karze za korzystanie z iPhone`a

Dwoje pracowników Huawei zostało ukaranych za wysłanie życzeń noworocznych z firmowego konta, ale za ...