Ocena skutków dla ochrony danych (DPIA)

• 26.10.2017

• Autor: Joanna Peryt

• obowiązki administratora danych

Ocena skutków przetwarzania stanowi nowe podejście do procesu przetwarzania danych osobowych. Dotychczasowe podejście oparte było o checklistę, na podstawie której dokonywano oceny, czy dany administrator danych spełnia wymogi prawne, czy też nie. W ujęciu RODO jest to podejście oparte na analizie ryzyka. Administratorzy danych już na etapie projektowania procesu przetwarzania danych będą musieli dokonać analizy danego procesu w celu określenia wszystkich zagrożeń, ryzyk z nim związanych i zastosowania adekwatnych zabezpieczeń organizacyjnych, fizycznych i technicznych.

DPIA jest narzędziem, które ma pomóc administratorowi danych w zapewnieniu zgodności przetwarzania z rozporządzeniem oraz stanowi podstawę do zapewnienia rozliczalności. Przeprowadzenie tego procesu będzie wymagało zaangażowania zarówno ze strony Zarządu,
jak i DPO oraz ekspertów zewnętrznych.

Ocenę skutków dla ochrony danych należy przeprowadzić wówczas kiedy:

• istnieje duże prawdopodobieństwo wysokiego ryzyka dla praw lub wolności osób fizycznych (art. 35 ust. 1 RODO),
• gdy operacja przetwarzania znajduje się w wykazie operacji objętych obowiązkiem DPIA, prowadzonym przez organ nadzorczy (art. 35 ust. 4 RODO),
• w przypadkach wskazanych w RODO (art. 35 ust. 3).

Przeprowadzenie takiej oceny nie jest obowiązkowe, jeśli:

• nie istnieje duże prawdopodobieństwo wysokiego ryzyka dla praw lub wolności osób fizycznych,
• gdy operacja przetwarzania znajduje się w wykazie operacji niepodlegających DPIA (art. 35 ust. 5 RODO),
• gdy przetwarzanie ma podstawę prawną w prawie UE lub państwa członkowskiego,
• gdy charakter, kontekst i cele przetwarzania są bardzo podobne do przetwarzania, dla którego została dokonana ocena skutków przetwarzania (DPIA).

Obowiązek dokonania DPIA dotyczy operacji przetwarzania rozpoczętych po 25 maja 2018 r., ale również dla procesów przetwarzania, które rozpoczęły się przed tą datą i mają swój ciąg dalszy po tym terminie. Natomiast dla operacji przetwarzania, które zakończyły się przed
25 maja 2018 r. nie stosujemy DPIA.

Za przeprowadzenie DPIA odpowiedzialny jest administrator danych. Może konsultować się z inspektorem ochrony danych osobowych, jeśli takowy został wyznaczony. Taka konsultacja, jak i decyzja podjęta na jej podstawie, powinny zostać odnotowane w DPIA. W przypadku kiedy przetwarzanie całkowicie lub częściowo dokonywane jest przez podmiot przetwarzający, wówczas podmiot ten powinien uczestniczyć w ocenie skutków dla ochrony danych.

RODO określa jaki powinien być minimalny zakres DPIA:

• opis planowanych operacji przetwarzania;
• opis celów przetwarzania;
• ocena niezbędności i proporcjonalności operacji;
• ocena ryzyka naruszenia praw lub wolności podmiotów danych;
• działania do podjęcia w celu minimalizacji ryzyk.

Wyniki przeprowadzonej oceny muszą być konsultowane z organem nadzorczym kiedy ryzyko szczątkowe jest nadal wysokie, mimo zastosowanych środków lub gdy prawo państwa członkowskiego wymaga, aby administratorzy konsultowali się z organem nadzorczym.

Autor

Joanna Peryt

Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.