LexDigital

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych? Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych? Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA? W jaki sposób należy przeprowadzić DPIA?

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Dpia (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Z tego artykułu dowiesz się:

  • Co to jest DPIA?
  • Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych?
  • Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych?
  • Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA?
  • W jaki sposób należy przeprowadzić DPIA?

stos znaków zapytania

Co to jest DPIA?

Ocena skutków dla ochrony danych (dalej: DPIA lub ocena) to proces mający na celu scharakteryzowanie przetwarzania danych, dokonanie oceny jego niezbędności i proporcjonalności oraz wsparcie administratora w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z tego przetwarzania. Ma ona służyć dogłębnej ocenie ryzyka na jakie narażone jest przetwarzanie danych osobowych i wprowadzeniu adekwatnych środków zaradczych ograniczających to ryzyko do poziomu akceptowalnego. Czynności, dla których przeprowadzenie oceny jest obowiązkowe znajdują umocowanie prawne w art. 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz obwieszczeniach Urzędu Ochrony Danych Osobowych. Zgodnie z art. 35 ust. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.  Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych.

Jako podstawę do wykonania oceny skutków dla ochrony danych należy przyjąć m. in.:

punkt 3 wykazu do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych, w którym jako przykład operacji/zakresu danych/okoliczności, w której może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania wskazano systemy monitorowania czasu pracy pracowników oraz przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, internetu). Ponadto źródłem informacji o zagrożeniach i podatnościach powinna być analiza zdarzeń, które już dotychczas wystąpiły u administratora.

skala, waga, znaki zapytania

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych?

Ocena skutków jest mechanizmem, który ma na celu szacowanie prawdopodobieństwa naruszenia praw i wolności osób w związku z przetwarzaniem ich danych osobowych. Ocena skutków dla ochrony Danych, na podstawie art. 35 ust. 1 RODO, powinna być przeprowadzona, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (w szczególności z wykorzystaniem nowych technologii).

Przykładowe czynności wykazane przez Prezesa Urzędu Ochrony Danych Osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych:

  • ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (np. ocena zdolności kredytowej),
  • zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki, systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni,
  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29),
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu,
  • przetwarzanie danych genetycznych,
  • dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: • liczby osób, których dane są przetwarzane, • zakresu przetwarzania, • okresu przechowywania danych oraz • geograficznego zakresu przetwarzania,
  • przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł,
  • przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi,
  • innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych,
  • gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy,
  • przetwarzanie danych lokalizacyjnych.

wysokie ryzyko, balans, lina

Co oznacza wysokie ryzyko naruszenia praw i wolności osób fizycznych?

Wysokie ryzyko naruszenia praw występuje w szczególności:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (np. zautomatyzowany scoring kredytowy; lub
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10;lub
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Urząd Ochrony Danych Osobowych podkreśla, że każdy z przykładów obszarów zastosowania ma charakter wyłącznie ilustracyjny, a w konsekwencji „Przykłady operacji/ zakresu danych/ okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania” nie mają charakteru wyczerpującego.

Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych?

Zgodnie z wytycznymi GRUPY ROBOCZEJ ART. 29 DS. OCHRONY DANYCH dotyczącymi Inspektorów ochrony danych, jeśli chodzi o ocenę skutków dla ochrony danych, administrator lub podmiot przetwarzający powinni zasięgnąć porady Inspektora, między innymi w następujących kwestiach:
  • czy należy przeprowadzić ocenę skutków dla ochrony danych; 
  • jaką metodologię należy przyjąć przy przeprowadzeniu oceny skutków dla ochrony danych; 
  • czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych czy też zlecić ją podmiotowi zewnętrznemu; 
  • jakie zabezpieczenia (w tym środki techniczne i organizacyjne) mają zastosowanie w celu złagodzenia wszelkich zagrożeń dla praw i interesów osób, których dane dotyczą; 
  • czy ocena skutków została prawidłowo przeprowadzona oraz czy jej wyniki są zgodne z wymogami ochrony danych (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować).

otwarta książka, strony, instrukcja

W jaki sposób należy przeprowadzić DPIA?

Ocenę skutków dla ochrony danych należy przeprowadzić „przed rozpoczęciem przetwarzania” (art. 35 ust. 1 i 10, motywy 90 i 93)23. Jest to zgodne z zasadami dotyczącymi uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25 i motyw 78). Ocenę skutków dla ochrony danych należy postrzegać jako narzędzie wspomagające proces podejmowania decyzji w sprawie przetwarzania danych.

Ustawodawca nie narzuca metodyki przeprowadzania DPIA zapewniając administratorowi elastyczność i możliwość dostosowania struktury i formy oceny do własnych praktyk. Minimalny zakres jaki powinien zostać uwzględniony wskazano w art. 35 ust. 7 RODO oraz w preambule w motywie 84 i 90. W ramach oceny należy zawrzeć:

  • opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów przetwarzania,
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • wskazanie środków służących zaradzeniu ryzyku oraz przestrzegania rozporządzenia.

Etapy dokonywania DPIA opisano również w Wytycznych Grupy Roboczej Art. 29. dotyczących oceny skutków dla ochrony danych (WP 248) i składa sie na nie 7 elementów:

  1. Opis planowanych operacji przetwarzania
  2. Ocena konieczności i proporcjonalności
  3. Środki planowane w celu wykazania zgodności
  4. Ocena ryzyka naruszenia praw i wolności
  5. Środki planowane w celu wyeliminowania ryzyka
  6. Dokumentacja
  7. Monitorowanie i przegląd

Wnioski

Ocena skutków dla ochrony danych stanowi przydatne narzędzie wykorzystywane przez administratorów danych do wdrażania systemów przetwarzania danych, które są zgodne z RODO, a przeprowadzenie tych ocen może okazać się obowiązkowe w przypadku niektórych rodzajów operacji przetwarzania.

W art. 24 ust. 1 określono podstawowy obowiązek administratora w zakresie zachowania zgodności z RODO: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Dokonywanie oceny skutków dla ochrony danych ma zasadnicze znaczenie dla zachowania zgodności z rozporządzeniem, jeżeli planuje się lub odbywa się przetwarzanie danych, z którym wiąże się wysokie ryzyko.

Potrzebujesz wsparcia w przeprowadzeniu DPIA? 

Skontaktuj się z nami.

Polecane

4 lata RODO

4 lata RODO

25 maja minęła czwarta rocznica stosowania RODO. To dobry moment na “update” co do aktualnych wyzwań w obszarze ochrony danych osobowych. Wraz z Zespołem LexDigital przygotowaliśmy dla Was krótki materiał! Życzymy wszystkiego bezpiecznego z okazji RODO-urodzin!

Testy penetracyjne w perspektywie RODO

Testy penetracyjne w perspektywie RODO

​Przy analizie zgodności naszej organizacji z rozporządzeniem RODO warto zwrócić uwagę na techniczne środki bezpieczeństwa przetwarzania danych osobowych. W erze technologii nie powinniśmy bagatelizować zagrożeń wynikających z użytkowania skomplikowanych systemów informatycznych i na bieżąco testować podatność naszych wewnętrznych i zewnętrznych systemów. Skutecznym narzędziem umożliwiającym zdiagnozowanie luk i błędów są testy penetracyjne nazwane również pentestami.

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

DPIA (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych? Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych? Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA? W jaki sposób należy przeprowadzić DPIA?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP