Ocena skutków dla ochrony danych (DPIA)
26.10.2017
Autor: Joanna Peryt
Ocena skutków przetwarzania stanowi nowe podejście do procesu przetwarzania danych osobowych. Dotychczasowe podejście oparte było o checklistę, na podstawie której dokonywano oceny, czy dany administrator danych spełnia wymogi prawne, czy też nie. W ujęciu RODO jest to podejście oparte na analizie ryzyka. Administratorzy danych już na etapie projektowania procesu przetwarzania danych będą musieli dokonać analizy danego procesu w celu określenia wszystkich zagrożeń, ryzyk z nim związanych i zastosowania adekwatnych zabezpieczeń organizacyjnych, fizycznych i technicznych.
DPIA jest narzędziem, które ma pomóc administratorowi danych w zapewnieniu zgodności przetwarzania z rozporządzeniem oraz stanowi podstawę do zapewnienia rozliczalności. Przeprowadzenie tego procesu będzie wymagało zaangażowania zarówno ze strony Zarządu,
jak i DPO oraz ekspertów zewnętrznych.
Ocenę skutków dla ochrony danych należy przeprowadzić wówczas kiedy:
Przeprowadzenie takiej oceny nie jest obowiązkowe, jeśli:
Obowiązek dokonania DPIA dotyczy operacji przetwarzania rozpoczętych po 25 maja 2018 r., ale również dla procesów przetwarzania, które rozpoczęły się przed tą datą i mają swój ciąg dalszy po tym terminie. Natomiast dla operacji przetwarzania, które zakończyły się przed
25 maja 2018 r. nie stosujemy DPIA.
Za przeprowadzenie DPIA odpowiedzialny jest administrator danych. Może konsultować się z inspektorem ochrony danych osobowych, jeśli takowy został wyznaczony. Taka konsultacja, jak i decyzja podjęta na jej podstawie, powinny zostać odnotowane w DPIA. W przypadku kiedy przetwarzanie całkowicie lub częściowo dokonywane jest przez podmiot przetwarzający, wówczas podmiot ten powinien uczestniczyć w ocenie skutków dla ochrony danych.
RODO określa jaki powinien być minimalny zakres DPIA:
Wyniki przeprowadzonej oceny muszą być konsultowane z organem nadzorczym kiedy ryzyko szczątkowe jest nadal wysokie, mimo zastosowanych środków lub gdy prawo państwa członkowskiego wymaga, aby administratorzy konsultowali się z organem nadzorczym.
Autor
Joanna Peryt
Z uwagi na posiadaną wiedzę specjalizuje się w zagadnieniach związanych z ochroną danych w prawie pracy. Przez kilkanaście lat zrealizowała wiele audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Pełniła rolę Inspektora ochrony danych dla wielu klientów Audytela.
Kategorie
Dołącz do listy mailingowej i otrzymuj od nas zawsze aktualne informcje!