iSecure logo
Blog

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz

Co się zmienia?

W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA).

Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu 8 lipca 2019 r. w Monitorze Polskim. Jakie operacje przetwarzania zdaniem UODO wymagają dokonania takiej oceny można przeczytać w Komunikacie: http://monitorpolski.gov.pl/MP/2019/666

 

Przypominamy

PUODO, na mocy przepisów RODO, ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania DPIA. Kwestie związane z oceną skutków dla ochrony danych zostały uregulowane w art. 35 RODO.

Czym jest więc ta ocena? Co prawda brak w RODO definicji tego pojęcia, jednak w jego wyjaśnieniu pomocny może być motyw 90 Preambuły RODO a także Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 wydane przez Grupę Roboczą Art. 29 (Wytyczne WP 248).

Według Grupy Roboczej Art. 29 (Wytyczne WP 248, s. 4) jest „to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i ustalając środki mające mu zaradzić)”. Natomiast według motywu 90 Preambuły RODO, DPIA ma służyć ocenie konkretnego prawdopodobieństwa i powagi wysokiego ryzyka przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych oraz źródeł ryzyka. Przeprowadzając taką ocenę administrator powinien wziąć pod uwagę planowane środki, zabezpieczenia, mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie przepisów dotyczących ochrony danych osobowych.

Dokonanie oceny skutków dla ochrony danych osobowych może być obowiązkowe (obligatoryjne) lub fakultatywne. Przepisy RODO wskazują również kiedy nie trzeba dokonywać takiej oceny. W przypadku gdy administrator decyduje się (bo jest np. do tego zobligowany) na przeprowadzenie DPIA, to takiej oceny powinien dokonać jeszcze przed rozpoczęciem przetwarzania danych osobowych. Nie zwalnia to oczywiście administratora z obowiązku kontrolowania aktualności takiej oceny i w razie konieczności jej aktualizowania – zdaniem Grupy Roboczej Art. 29 nie jest to bowiem czynność jednorazowa, a ciągły proces. Dokonując takiej oceny administrator powinien współpracować z Inspektorem Ochrony Danych w sytuacji, gdy go wyznaczył.

Dlaczego warto dokonać takiej oceny albo chociaż rozważyć jej dokonanie? Z punktu widzenia przetwarzania danych osobowych przeprowadzenie DPIA może być bardzo istotne, gdyż:

– po pierwsze: do jej przeprowadzenia może obligować RODO,

– po drugie: mimo braku zaistnienia przesłanek obligujących do dokonania DPIA, jej przeprowadzenie może być uzasadnione z uwagi na szczególny charakter przetwarzania danych, wykonywanych operacji, zastosowanej technologii itp.,

– po trzecie: dokonanie oceny może pomóc administratorowi określić jakie środki techniczne i organizacyjne powinien zapewnić i zastosować by przetwarzanie danych osobowych było zgodne z przepisami RODO,

– po czwarte: wszelkie dokonane oceny skutków pomagają administratorowi wykazać, że przestrzega zasad określonych w RODO i przetwarza dane osobowe zgodnie z obowiązującym prawem – taka ocena sprzyja więc wywiązywaniu się z zasady rozliczalności i zasady przejrzystości.

Podobne wpisy:

Dane osobowe dzieci w internecie

Zgoda dziecka na przetwarzanie danych osobowych

Publikacja mojego artykułu przypada na pierwszy dzień kwietnia, który w łacinie to nie inaczej, jak prima (dies) Aprilis. Pomimo tej okoliczności, dzisiaj nie o żartach, a o poważnych i interesujących tematach, jak na blog iSecure przystoi, a mianowicie – o zgodzie dzieci na przetwarzanie ich danych osobowych. Zaznaczam na wstępie, że niniejszy artykuł tylko o […]

Regulamin konkursu – na co zwrócić uwagę?

Niemal każda firma od czasu do czasu zainteresowana jest przeprowadzeniem konkursu. Nie ma dwóch takich samych zabaw, bo w zależności od potrzeb i możliwości danego podmiotu, forma prowadzenia konkursu może się różnić. Najczęściej jednak opracowywane są regulaminy – innymi słowy mówiąc zasady prowadzenia konkursu. I to właśnie na tym aspekcie skupię się w tym krótkim […]

Prywatne dane kontaktowe pracownika – na jakich zasadach można je przetwarzać

Dzisiaj bierzemy na warsztat temat przetwarzania prywatnych danych kontaktowych pracownika, czyli w szczególności jego prywatnego numeru telefonu i adresu e-mail. Na pierwszy rzut oka mogłoby się wydawać, że nie ma o czym mówić. Możliwe, że sporo pracodawców przetwarza na co dzień takie informacje – przecież nasz pracownik, jeszcze na etapie rekrutacji przekazał swoje dane kontaktowe, […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki