LexDigital

DPIA (Data Protection Impact Assessment) – ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych? Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych? Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA? W jaki sposób należy przeprowadzić DPIA?

DPIA (Data Protection Impact Assessment) – ocena skutków dla ochrony danych

Dpia (Data Protection Impact Assessment) - Ocena skutków dla ochrony danych

Z tego artykułu dowiesz się:

  • Co to jest DPIA?
  • Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych?
  • Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych?
  • Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA?
  • W jaki sposób należy przeprowadzić DPIA?

Co to jest DPIA?

Ocena skutków dla ochrony danych (dalej: DPIA lub ocena) to proces mający na celu scharakteryzowanie przetwarzania danych, dokonanie oceny jego niezbędności i proporcjonalności oraz wsparcie administratora w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z tego przetwarzania. Ma ona służyć dogłębnej ocenie ryzyka na jakie narażone jest przetwarzanie danych osobowych i wprowadzeniu adekwatnych środków zaradczych ograniczających to ryzyko do poziomu akceptowalnego. Czynności, dla których przeprowadzenie oceny jest obowiązkowe znajdują umocowanie prawne w art. 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz obwieszczeniach Urzędu Ochrony Danych Osobowych. Zgodnie z art. 35 ust. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.  Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych.

Jako podstawę do wykonania oceny skutków dla ochrony danych należy przyjąć m. in.:

punkt 3 wykazu do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych, w którym jako przykład operacji/zakresu danych/okoliczności, w której może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania wskazano systemy monitorowania czasu pracy pracowników oraz przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, internetu). Ponadto źródłem informacji o zagrożeniach i podatnościach powinna być analiza zdarzeń, które już dotychczas wystąpiły u administratora.

RODO, GDPR, ochrona danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych?

Ocena skutków jest mechanizmem, który ma na celu szacowanie prawdopodobieństwa naruszenia praw i wolności osób w związku z przetwarzaniem ich danych osobowych. Ocena skutków dla ochrony Danych, na podstawie art. 35 ust. 1 RODO, powinna być przeprowadzona, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (w szczególności z wykorzystaniem nowych technologii).

Przykładowe czynności wykazane przez Prezesa Urzędu Ochrony Danych Osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych:

  • ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (np. ocena zdolności kredytowej),
  • zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki, systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni,
  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29),
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu,
  • przetwarzanie danych genetycznych,
  • dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: • liczby osób, których dane są przetwarzane, • zakresu przetwarzania, • okresu przechowywania danych oraz • geograficznego zakresu przetwarzania,
  • przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł,
  • przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi,
  • innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych,
  • gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy,
  • przetwarzanie danych lokalizacyjnych.
    administrator danych osobowych, dane osobowe, personal data

Co oznacza wysokie ryzyko naruszenia praw i wolności osób fizycznych?

Wysokie ryzyko naruszenia praw występuje w szczególności:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (np. zautomatyzowany scoring kredytowy; lub
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10;lub
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Urząd Ochrony Danych Osobowych podkreśla, że każdy z przykładów obszarów zastosowania ma charakter wyłącznie ilustracyjny, a w konsekwencji „Przykłady operacji/ zakresu danych/ okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania” nie mają charakteru wyczerpującego.

inspektor danych osobowych, IOD, DPIA

Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych?

Zgodnie z wytycznymi GRUPY ROBOCZEJ ART. 29 DS. OCHRONY DANYCH dotyczącymi Inspektorów ochrony danych, jeśli chodzi o ocenę skutków dla ochrony danych, administrator lub podmiot przetwarzający powinni zasięgnąć porady Inspektora, między innymi w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych; 
  • jaką metodologię należy przyjąć przy przeprowadzeniu oceny skutków dla ochrony danych; 
  • czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych czy też zlecić ją podmiotowi zewnętrznemu; 
  • jakie zabezpieczenia (w tym środki techniczne i organizacyjne) mają zastosowanie w celu złagodzenia wszelkich zagrożeń dla praw i interesów osób, których dane dotyczą; 
  • czy ocena skutków została prawidłowo przeprowadzona oraz czy jej wyniki są zgodne z wymogami ochrony danych (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować).
    ocena ryzyka, DPIA, dane osobowe

W jaki sposób należy przeprowadzić DPIA?

Ocenę skutków dla ochrony danych należy przeprowadzić „przed rozpoczęciem przetwarzania” (art. 35 ust. 1 i 10, motywy 90 i 93)23. Jest to zgodne z zasadami dotyczącymi uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25 i motyw 78). Ocenę skutków dla ochrony danych należy postrzegać jako narzędzie wspomagające proces podejmowania decyzji w sprawie przetwarzania danych.

Ustawodawca nie narzuca metodyki przeprowadzania DPIA zapewniając administratorowi elastyczność i możliwość dostosowania struktury i formy oceny do własnych praktyk. Minimalny zakres jaki powinien zostać uwzględniony wskazano w art. 35 ust. 7 RODO oraz w preambule w motywie 84 i 90. W ramach oceny należy zawrzeć:

  • opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów przetwarzania,
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • wskazanie środków służących zaradzeniu ryzyku oraz przestrzegania rozporządzenia.

Etapy dokonywania DPIA opisano również w Wytycznych Grupy Roboczej Art. 29. dotyczących oceny skutków dla ochrony danych (WP 248) i składa sie na nie 7 elementów:

  1. Opis planowanych operacji przetwarzania
  2. Ocena konieczności i proporcjonalności
  3. Środki planowane w celu wykazania zgodności
  4. Ocena ryzyka naruszenia praw i wolności
  5. Środki planowane w celu wyeliminowania ryzyka
  6. Dokumentacja
  7. Monitorowanie i przegląd

Wnioski

Ocena skutków dla ochrony danych stanowi przydatne narzędzie wykorzystywane przez administratorów danych do wdrażania systemów przetwarzania danych, które są zgodne z RODO, a przeprowadzenie tych ocen może okazać się obowiązkowe w przypadku niektórych rodzajów operacji przetwarzania.

W art. 24 ust. 1 określono podstawowy obowiązek administratora w zakresie zachowania zgodności z RODO: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Dokonywanie oceny skutków dla ochrony danych ma zasadnicze znaczenie dla zachowania zgodności z rozporządzeniem, jeżeli planuje się lub odbywa się przetwarzanie danych, z którym wiąże się wysokie ryzyko.

Potrzebujesz wsparcia w przeprowadzeniu DPIA? 

Skontaktuj się z nami.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk