Prenumerata 2018 ju˜ż w sprzedża˜y - SPRAWD˜!

Bezpieczeństwo

Administrator oceni skutki przetwarzania danych

Tomasz Mamys, project manager RODO w Sage.
materiały prasowe
Dodatkowy obowišzek dla korzystajšcych z nowych technologii.

Materiał powstał we współpracy z firmš Sage

Rozporzšdzenie o ochronie danych osobowych (RODO) wprowadza na podstawie art. 35 ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang.: data protection impact assessment, DPIA). To nowy obowišzek, który cišży na administratorze danych osobowych (ADO).

Niektóre rodzaje przetwarzania danych osobowych mogš wišzać się z wysokim ryzykiem naruszenia praw lub wolnoœci osób fizycznych. W takiej sytuacji administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Grupa robocza art. 29 w wytycznych dotyczšcych DPIA okreœla „ryzyko" jako scenariusz opisujšcy zdarzenie i konsekwencje, oszacowany pod względem powagi i prawdopodobieństwa ryzyka. Natomiast – „zarzšdzanie ryzykiem" definiuje jako skoordynowane działania majšce na celu kierowanie organizacjš i kontrolowanie organizacji pod względem ryzyka.

Proces oceny skutków dla ochrony danych powinien zawierać co najmniej:

1) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora (jeżeli służy ona ich realizacji);

2) ocenę, czy operacje przetwarzania sš niezbędne oraz proporcjonalne w stosunku do celów;

3) ocenę ryzyka naruszenia praw lub wolnoœci osób, których dane dotyczš; oraz

4) œrodki planowane w celu zaradzenia ryzyku, w tym majšce zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporzšdzenia RODO.

W praktyce prawdopodobnie przed zakończeniem oceny skutków dla ochrony danych każdy z etapów będzie wielokrotnie powtarzany.

To ważne narzędzia służšce do realizacji celu rozliczalnoœci: DPIA pomaga ADO nie tylko w przestrzeganiu wymogów RODO, ale również w wykazaniu, że podjęto odpowiednie œrodki w celu zapewnienia zgodnoœci z rozporzšdzeniem.

Przeprowadzenie DPIA jest więc obowišzkowe, gdy operacje przetwarzania obejmujš w szczególnoœci:

- zastosowanie nowych technologii,

- sš nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych,

- stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.

Istniejš też szczególne przypadki. Firma A oferuje swoim klientom system monitoringu wizyjnego, obejmujšcy też miejsca publiczne; firma B œwiadczy usługi przetwarzania danych osobowych pacjentów szpitala zawarte w ich dokumentacji medycznej; z kolei firma C realizuje usługi profilowania klientów w sklepach internetowych, portalach internetowych. Każdy z tych podmiotów będzie zobowišzany do przeprowadzenia DPIA – ich działania odpowiadajš wskazanym w RODO kategoriom przetwarzania danych podlegajšcym szczególnej analizie, to jest gdy:

- administrator dokonuje systematycznej, kompleksowej oceny czynników osobowych odnoszšcych się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawš decyzji wywołujšcych skutki prawne wobec osoby fizycznej lub w podobny sposób znaczšco na niš wpływajšcych;

- na dużš skalę przetwarzane sš szczególne kategorie danych osobowych lub danych osobowych dotyczšcych wyroków skazujšcych;

- masowo i systematycznie monitorowane sš miejsca dostępne publicznie.

Więcej informacji w opinii i wytycznych grupy roboczej art. 29 dotyczšcych oceny skutków dla ochrony danych (WP 248) na: http://www.giodo.gov.pl/pl/1520285/10078.

ródło: Rzeczpospolita

WIDEO KOMENTARZ

REDAKCJA POLECA

NAJNOWSZE Z RP.PL