iSecure logo
Blog

Zmiany w wykazie operacji wymagających DPIA

Autor tekstu: Aleksandra Eluszkiewicz

Co się zmienia?

W czerwcu Prezes Urzędu Ochrony Danych Osobowych wydał komunikat dotyczący zmian w wykazie operacji przetwarzania danych osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA).

Zmieniony wykaz znajduje się w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r., który został ogłoszony w dniu 8 lipca 2019 r. w Monitorze Polskim. Jakie operacje przetwarzania zdaniem UODO wymagają dokonania takiej oceny można przeczytać w Komunikacie: http://monitorpolski.gov.pl/MP/2019/666

 

Przypominamy

PUODO, na mocy przepisów RODO, ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania DPIA. Kwestie związane z oceną skutków dla ochrony danych zostały uregulowane w art. 35 RODO.

Czym jest więc ta ocena? Co prawda brak w RODO definicji tego pojęcia, jednak w jego wyjaśnieniu pomocny może być motyw 90 Preambuły RODO a także Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679 wydane przez Grupę Roboczą Art. 29 (Wytyczne WP 248).

Według Grupy Roboczej Art. 29 (Wytyczne WP 248, s. 4) jest „to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych (oceniając ryzyko i ustalając środki mające mu zaradzić)”. Natomiast według motywu 90 Preambuły RODO, DPIA ma służyć ocenie konkretnego prawdopodobieństwa i powagi wysokiego ryzyka przy uwzględnieniu charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych oraz źródeł ryzyka. Przeprowadzając taką ocenę administrator powinien wziąć pod uwagę planowane środki, zabezpieczenia, mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie przepisów dotyczących ochrony danych osobowych.

Dokonanie oceny skutków dla ochrony danych osobowych może być obowiązkowe (obligatoryjne) lub fakultatywne. Przepisy RODO wskazują również kiedy nie trzeba dokonywać takiej oceny. W przypadku gdy administrator decyduje się (bo jest np. do tego zobligowany) na przeprowadzenie DPIA, to takiej oceny powinien dokonać jeszcze przed rozpoczęciem przetwarzania danych osobowych. Nie zwalnia to oczywiście administratora z obowiązku kontrolowania aktualności takiej oceny i w razie konieczności jej aktualizowania – zdaniem Grupy Roboczej Art. 29 nie jest to bowiem czynność jednorazowa, a ciągły proces. Dokonując takiej oceny administrator powinien współpracować z Inspektorem Ochrony Danych w sytuacji, gdy go wyznaczył.

Dlaczego warto dokonać takiej oceny albo chociaż rozważyć jej dokonanie? Z punktu widzenia przetwarzania danych osobowych przeprowadzenie DPIA może być bardzo istotne, gdyż:

– po pierwsze: do jej przeprowadzenia może obligować RODO,

– po drugie: mimo braku zaistnienia przesłanek obligujących do dokonania DPIA, jej przeprowadzenie może być uzasadnione z uwagi na szczególny charakter przetwarzania danych, wykonywanych operacji, zastosowanej technologii itp.,

– po trzecie: dokonanie oceny może pomóc administratorowi określić jakie środki techniczne i organizacyjne powinien zapewnić i zastosować by przetwarzanie danych osobowych było zgodne z przepisami RODO,

– po czwarte: wszelkie dokonane oceny skutków pomagają administratorowi wykazać, że przestrzega zasad określonych w RODO i przetwarza dane osobowe zgodnie z obowiązującym prawem – taka ocena sprzyja więc wywiązywaniu się z zasady rozliczalności i zasady przejrzystości.

Podobne wpisy:

Rekordowa kara PUODO dla administratora – a kontrola podmiotu przetwarzającego

Czy korzystasz z usług podmiotów przetwarzających? Czy przykładasz szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania? A może zlecasz kontrolę prawidłowości przetwarzania danych w trakcie współpracy? 19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. […]

Jak przetwarzać dane – poradnik (cz. I)

Prewencyjny pomiar temperatury

Pytanie o możliwość prewencyjnego pomiaru temperatury w dobie pandemii COVID-19 jest jednym z najczęściej zadawanych nam przez naszych klientów, z wielu różnych branż. Wychodząc naprzeciw tym oczekiwaniom zebraliśmy wjednym miejscu dotychczasowe przepisy i wytyczne odpowiednich organów, a następnie opatrzyliśmy je naszym komentarzem. Podsumowanie zostało przesłane do Związku Firm Ochrony Danych Osobowych (ZFODO) celem skonsultowania i przyjęcia jako wspólne stanowisko. Stanowisko iSecure w zakresie […]

O ochronie danych osobowych w Nowoczesnej Firmie

Nieoczywiste korzyści z audytu RODO

Niedługo minie dwa lata od wejścia w życie rozporządzenia RODO, które postawiło przedsiębiorstwa przed koniecznością rozliczenia się ze sposobu przetwarzania danych osobowych, tak klientów jak i biznesowych partnerów. Wydawać by się mogło, że po takim czasie wdrożenie regulacji będzie już powszechne, jednakże wiele firm jest jeszcze w trakcie dostosowywania się do przepisów lub właśnie rewiduje […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki