iSecure logo
Blog

Zmiany w wykazie operacji wymagających DPIA

Aleksandra Eluszkiewicz

Co się zmienia?

W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA).

Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu 8 lipca 2019 r. w Monitorze Polskim. Jakie operacje przetwarzania zdaniem UODO wymagają dokonania takiej oceny można przeczytać w Komunikacie: http://monitorpolski.gov.pl/MP/2019/666

 

Przypominamy

PUODO, na mocy przepisów RODO, ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania DPIA. Kwestie związane z oceną skutków dla ochrony danych zostały uregulowane w art. 35 RODO.

Czym jest więc ta ocena? Co prawda brak w RODO definicji tego pojęcia, jednak w jego wyjaśnieniu pomocny może być motyw 90 Preambuły RODO a także Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 wydane przez Grupę Roboczą Art. 29 (Wytyczne WP 248).

Według Grupy Roboczej Art. 29 (Wytyczne WP 248, s. 4) jest „to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i ustalając środki mające mu zaradzić)”. Natomiast według motywu 90 Preambuły RODO, DPIA ma służyć ocenie konkretnego prawdopodobieństwa i powagi wysokiego ryzyka przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych oraz źródeł ryzyka. Przeprowadzając taką ocenę administrator powinien wziąć pod uwagę planowane środki, zabezpieczenia, mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie przepisów dotyczących ochrony danych osobowych.

Dokonanie oceny skutków dla ochrony danych osobowych może być obowiązkowe (obligatoryjne) lub fakultatywne. Przepisy RODO wskazują również kiedy nie trzeba dokonywać takiej oceny. W przypadku gdy administrator decyduje się (bo jest np. do tego zobligowany) na przeprowadzenie DPIA, to takiej oceny powinien dokonać jeszcze przed rozpoczęciem przetwarzania danych osobowych. Nie zwalnia to oczywiście administratora z obowiązku kontrolowania aktualności takiej oceny i w razie konieczności jej aktualizowania – zdaniem Grupy Roboczej Art. 29 nie jest to bowiem czynność jednorazowa, a ciągły proces. Dokonując takiej oceny administrator powinien współpracować z Inspektorem Ochrony Danych w sytuacji, gdy go wyznaczył.

Dlaczego warto dokonać takiej oceny albo chociaż rozważyć jej dokonanie? Z punktu widzenia przetwarzania danych osobowych przeprowadzenie DPIA może być bardzo istotne, gdyż:

– po pierwsze: do jej przeprowadzenia może obligować RODO,

– po drugie: mimo braku zaistnienia przesłanek obligujących do dokonania DPIA, jej przeprowadzenie może być uzasadnione z uwagi na szczególny charakter przetwarzania danych, wykonywanych operacji, zastosowanej technologii itp.,

– po trzecie: dokonanie oceny może pomóc administratorowi określić jakie środki techniczne i organizacyjne powinien zapewnić i zastosować by przetwarzanie danych osobowych było zgodne z przepisami RODO,

– po czwarte: wszelkie dokonane oceny skutków pomagają administratorowi wykazać, że przestrzega zasad określonych w RODO i przetwarza dane osobowe zgodnie z obowiązującym prawem – taka ocena sprzyja więc wywiązywaniu się z zasady rozliczalności i zasady przejrzystości.

Podobne wpisy:

Zmiany w ustawie od 7 marca 2011r.
Piotr Miśkiewicz

Autonomiczne podporządkowanie Inspektora Ochrony Danych

Administrator danych osobowych, a więc podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych ma obowiązek wyznaczenia Inspektora Ochrony Danych zasadniczo w trzech sytuacjach: kiedy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, […]

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych
Olga Skotnicka

RODO krok po kroku – część 3: obowiązek zgłaszania naruszenia danych osobowych

W trzeciej części cyklu o najważniejszych zmianach wprowadzanych przez RODO/GDPR  przedstawiamy obowiązki zgłaszania naruszeń danych osobowych

Dane osobowe w kopiach zapasowych
Olga Jaworowska

Dane osobowe w kopiach zapasowych

Po wejściu w życie RODO, administratorzy danych nie mają łatwego zadania – praktyczne wdrożenie przepisów unijnej regulacji jest bowiem czasochłonne i dotyka wielu sfer funkcjonowania firmy, w tym także w obszarze IT. Za przykład niech posłuży pionierska aplikacja na telefon za pomocą której można umawiać się na wizytę do usługodawców, takich jak zakłady fryzjerskie, czy […]