iSecure logo
Blog

Zmiany w wykazie operacji wymagających DPIA

Aleksandra Eluszkiewicz

Co się zmienia?

W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA).

Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu 8 lipca 2019 r. w Monitorze Polskim. Jakie operacje przetwarzania zdaniem UODO wymagają dokonania takiej oceny można przeczytać w Komunikacie: http://monitorpolski.gov.pl/MP/2019/666

 

Przypominamy

PUODO, na mocy przepisów RODO, ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania DPIA. Kwestie związane z oceną skutków dla ochrony danych zostały uregulowane w art. 35 RODO.

Czym jest więc ta ocena? Co prawda brak w RODO definicji tego pojęcia, jednak w jego wyjaśnieniu pomocny może być motyw 90 Preambuły RODO a także Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 wydane przez Grupę Roboczą Art. 29 (Wytyczne WP 248).

Według Grupy Roboczej Art. 29 (Wytyczne WP 248, s. 4) jest „to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i ustalając środki mające mu zaradzić)”. Natomiast według motywu 90 Preambuły RODO, DPIA ma służyć ocenie konkretnego prawdopodobieństwa i powagi wysokiego ryzyka przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych oraz źródeł ryzyka. Przeprowadzając taką ocenę administrator powinien wziąć pod uwagę planowane środki, zabezpieczenia, mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie przepisów dotyczących ochrony danych osobowych.

Dokonanie oceny skutków dla ochrony danych osobowych może być obowiązkowe (obligatoryjne) lub fakultatywne. Przepisy RODO wskazują również kiedy nie trzeba dokonywać takiej oceny. W przypadku gdy administrator decyduje się (bo jest np. do tego zobligowany) na przeprowadzenie DPIA, to takiej oceny powinien dokonać jeszcze przed rozpoczęciem przetwarzania danych osobowych. Nie zwalnia to oczywiście administratora z obowiązku kontrolowania aktualności takiej oceny i w razie konieczności jej aktualizowania – zdaniem Grupy Roboczej Art. 29 nie jest to bowiem czynność jednorazowa, a ciągły proces. Dokonując takiej oceny administrator powinien współpracować z Inspektorem Ochrony Danych w sytuacji, gdy go wyznaczył.

Dlaczego warto dokonać takiej oceny albo chociaż rozważyć jej dokonanie? Z punktu widzenia przetwarzania danych osobowych przeprowadzenie DPIA może być bardzo istotne, gdyż:

– po pierwsze: do jej przeprowadzenia może obligować RODO,

– po drugie: mimo braku zaistnienia przesłanek obligujących do dokonania DPIA, jej przeprowadzenie może być uzasadnione z uwagi na szczególny charakter przetwarzania danych, wykonywanych operacji, zastosowanej technologii itp.,

– po trzecie: dokonanie oceny może pomóc administratorowi określić jakie środki techniczne i organizacyjne powinien zapewnić i zastosować by przetwarzanie danych osobowych było zgodne z przepisami RODO,

– po czwarte: wszelkie dokonane oceny skutków pomagają administratorowi wykazać, że przestrzega zasad określonych w RODO i przetwarza dane osobowe zgodnie z obowiązującym prawem – taka ocena sprzyja więc wywiązywaniu się z zasady rozliczalności i zasady przejrzystości.

Podobne wpisy:

Agnieszka Rapcewicz

Kilka słów o współadministrowaniu danymi osobowymi

Pojęcie współadministrowania danymi osobowymi nie występowało w polskiej ustawie o ochronie danych osobowych z 1997 r., mimo że dyrektywa 95/46/WE definiowała administratora danych podobnie jak aktualnie RODO. Chodziło więc o podmiot, który samodzielnie lub wspólnie z innymi podmiotamiokreśla cele i sposoby przetwarzania danych osobowych. Dopiero RODO wprowadziło wyraźną regulację dotyczącą współadministrowania i określiło, jakie obowiązki […]

Zmiany w ustawie od 7 marca 2011r.
Piotr Miśkiewicz

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

Kurs ochrony danych osobowych przez e-mail
Ewa Eluszkiewicz

Żądanie usunięcia danych osobowych

Wejście RODO w życie sprawiło, że upowszechniona została wiedza o prawach przysługujących osobom, których dane dotyczą. Z różnych przyczyn osoby takie kierują do administratorów swoje żądania, a to z kolei oznacza, że administrator danych musi się z nimi zmierzyć, pochylić nad ich zasadnością. Dzisiejszy wpis będzie traktował o jednym z takich praw, jakim jest prawo […]