Dokonywanie oceny skutków dla ochrony danych  (ang. Data Protection Impact Assessment, DPIA) jest nowym obowiązkiem, który ciąży na administratorze. Oceny skutków dokonujemy w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Niektóre rodzaje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W takiej sytuacji administrator, przed ich rozpoczęciem, powinien dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Ryzyko dla ochrony danych osobowych może wynikać z:

  1. charakteru,
  2. zakresu,
  3. kontekstu,
  4. celów przetwarzania.

Operacje przetwarzania, które wiążą się z wysokim ryzykiem

Operacje przetwarzania, które wiążą się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, obejmują w szczególności operacje, które:

1) wiążą się z użyciem nowych technologii;

2) są nowe i nie zostały jeszcze poddane przez administratora ocenie skutków dla ochrony danych; lub

3) stały się niezbędne z uwagi na upływ czasu od pierwotnego przetwarzania.

Wysokie ryzyko naruszenia praw lub wolności osób fizycznych zachodzi w szczególności w przypadku:

1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu i jest podstawą decyzji wywołujących skutki wobec osoby fizycznej;

2) przetwarzania na dużą skalę danych wrażliwych, genetycznych, biometrycznych, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;

3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Przetwarzanie dotyczące danych osobowych pacjentów lub klientów nie powinno być uznawane za przetwarzanie na dużą skalę. Przetwarzanie to jest dokonywane przez pojedynczego lekarza (innego pracownika służby zdrowia) lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.

Dla podobnych operacji przetwarzania danych, wiążących się z podobnym ryzykiem, można przeprowadzić jedną ocenę.

Wykazy rodzajów operacji przetwarzania

Organ nadzorczy ustanawia i podaje do publicznej wiadomości:

1) wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych;

2) wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.

Dzięki tym wykazom administrator z góry wie czy znajdująca się w jednym z nich operacja przetwarzania podlegać będzie wymogowi dokonania DPIA .

Przyjęcie przez organ nadzorczy wykazu operacji podlegających ocenie skutków wymaga opinii Europejskiej Rady Ochrony Danych. Opinia wydana zostaje w okresie do 3 miesięcy. Wobec tego, wykaz zostanie udostępniony na stronie GIODO, nie wcześniej niż pod koniec roku 2017 lub na początku 2018 r.

Elementy DPIA

Ocena zawiera co najmniej:

1) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym prawnie uzasadnionych interesów realizowanych przez administratora (jeżeli służy ona ich realizacji);

2) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

3) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz

4) środki planowane w celu zaradzenia ryzyku, w tym mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia GDPR.

Kiedy nie musimy stosować DPIA?

Obowiązek oceny skutków dla ochrony danych nie zachodzi, jeżeli dana operacja przetwarzania lub zestaw operacji:

1) jest niezbędna do wypełnienia obowiązku prawnego ciążącego na administratorze; lub

2) jest niezbędna do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi i ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator.

Wskazania wobec procesu dokonywania oceny skutków dla ochrony danych

Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych (DPO), jeżeli został on wyznaczony.

Wpływ na ocenę skutków operacji przetwarzania wykonywanych przez ADO lub procesora, powinien mieć fakt przestrzegania przez niego zatwierdzonych kodeksów postępowania.

W stosownych przypadkach administrator powinien zasięgnąć opinii osób, których dane dotyczą (lub ich przedstawicieli) w sprawie zamierzonego przetwarzania. Nie powinno to powodować jednak uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

W razie zmiany ryzyka wynikającego z operacji przetwarzania, ADO ma obowiązek dokonania przeglądu. Podczas przeglądu stwierdza czy przetwarzanie odbywa się zgodnie ze wcześniejszą oceną skutków dla ochrony danych.

Procesor ma obowiązek pomagać administratorowi w zapewnieniu przestrzegania obowiązków wynikających z dokonania oceny skutków dla ochrony danych.

Wyniki oceny

Wyniki oceny należy uwzględnić przy określaniu odpowiednich środków, które należy zastosować by wykazać, że przetwarzanie danych osobowych odbywa się zgodnie z GDPR. Ocena ta, może również wymagać uprzednich konsultacji.

Related Post

UDOSTĘPNIJ
Poprzedni artykułPrawo dostępu przysługujące osobie, której dane dotyczą
Następny artykułUprzednie konsultacje
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.