Ocena skutków przetwarzania według RODO – z czym to się je?

Ocena skutków przetwarzania według RODO – z czym to się je?14.11.2017 10:39
Źródło zdjęć: © Materiały prasowe
Artykuł sponsorowany

RODO wiąże się z wieloma zmianami w dotychczasowej rutynie pracy administratora – także w gestii konieczności wdrażania nowych procedur. Do nich należy „ocena skutków przetwarzania”. Odpowiedzmy sobie na pytanie, czym jest owa procedura i z jakich powodów RODO nakłada ten obowiązek.

Wchodzące w życie 25 maja 2018 roku rozporządzenie o ochronie danych nakłada na administratorów nowy obowiązek określany jako Privacy Impact Assesssment (PIA). Czynność ta, znana na polskim gruncie jako ocena skutków ochrony danych, ma za zadanie:

  • Określenie, czy przetwarzanie danych odbywa się zgodnie z założeniami RODO;
  • Rozpoznanie ewentualnych zagrożeń;
  • Ograniczenie ilości naruszeń prywatności.

Zapisz się na darmowe szkolenie z RODO!::follow}

Kiedy należy wykonać PIA?

Według unijnych przepisów, ocenę skutków przetwarzania danych należy przeprowadzić, gdy pojawią się przynajmniej dwie z poniższych przesłanek:

  1. Przetwarzanie jest zautomatyzowane (np. profilowanie) i wywołuje skutki prawne wobec osoby fizycznej;
  2. Przetwarzanie dotyka dane wrażliwe;
  3. Podczas przetwarzania łączy się różne zbiory danych;
  4. Przetwarza się dane osób, które mogą mieć problem ze sformułowaniem sprzeciwu – np. dzieci
  5. Zakłada się użycie innowacyjnych technologii;
  6. Przetwarzanie utrudnia osobie, której dane ulegają procesowi, wykonywanie należących do niej praw.

Spełnienie tylko jednej przesłanki oznacza, że procedura PIA jest możliwa – pod warunkiem uzasadnienia jej rozpoczęcia konkretnymi okolicznościami sugerującymi zagrożenie bezpieczeństwa danych.

Przejrzystość archiwizowania dokumentacji gwarantuje, że wykonanie PIA będzie zawsze podjęte na solidnych podstawach. Używając oprogramowania zaprojektowanego specjalnie do wspomagania wdrożenia założeń RODO w życie – przykładem którego jest statlook RODO – możesz usprawnić swój proces decyzyjny.

W jakich sytuacjach procedura PIA nie jest potrzebna?

Istnieją również sytuacje, w których podjęcie procedury oceny skutków przetwarzania nie będzie konieczne. Nie wymaga się go, gdy:
a) Przetworzone dane zostały już dopuszczone do podobnej procedury,
b) Przetwarzanie ma silną podstawę prawną w prawie UE lub prawie państwa członkowskiego,

Dodatkowo, według założeń RODO organ nadzorczy sprawujący pieczę nad przetwarzaniem danych (w Polsce od maja 2018 roku będzie to Prezes Urzędu Ochrony Danych Osobowych) ma możłiwość stworzenia wykazu operacji przetwarzania, które nie będą wymagać podjęcia PIA.

Pod znakiem zapytania stoją m.in. systemy CRM, do których użytkownicy wprowadzają pewien zakres danych, jednak nie wymagają one podania danych wrażliwych. Zawężenie typu danych, które mogą stanowić ryzyko dla wolności lub praw klienta ma za zadanie rozwiać wątpliwości dotyczące konieczności przeprowadzenia oceny.

Jak wygląda przebieg oceny skutków przetwarzania?

W gestii dobrania metody przeprowadzenia oceny skutków przetwarzania, RODO pozostawia swobodę administratorowi. Niemniej jednak, wyróżnia ono minimalne elementy oceny skutków dla ochrony danych. Są to:

  • Ustystematyzowany opis planowanych operacji i celów przetwarzania; wlicza się w to również prawnie uzasadnione interesy administratora, jeżeli to kryterium leży u podstaw rozpoczęcia procedury;
  • Ocena ryzyka naruszenia praw lub wolności osób, których dane ulegają przetwarzaniu;
  • Opis śródków zaradczych mających na celu zminimalizowanie zagrożenia danych osobowych;
  • Opis mechanizmów bezpieczeństwa udowodniających przestrzeganie przepisów RODO.

Z kim administrator konsultuje process oceny przetwarzania danych?

Proces oceny przetwarzania danych wymaga zasięgnięcia opinii odpowiednich osób bądź organów w celu zapewnienia informacjom odpowiedniego poziomu bezpieczeństwa. Jak to będzie wyglądać w praktyce?

  • Wyznaczenie inspektora ochrony danych (IOD) obliguje administratora do konsultowania z nim przebiegu oceny;
  • Przed rozpoczęciem przetwarzania, administrator zasięga opinii osób, których dane ulegną procesowi lub ich przedstawiecieli;
  • W przypadku, jeżeli przetwarzanie jest objęte wysokim poziomem ryzyka, a administrator nie podjął środków zaradczych w celu jego zmniejszenia, powinien to skonsultować z organem nadzorczym (PUODO).

W przypadku konsultacji z osobami, których dane ulegają przetwarzaniu, forma ich przeprowadzenia w wysokim stopniu zależy od kontekstu. Może to się odbyć na zasadzie skierowania formalnych zapytań do pracowników lub ich przedstawicieli, bądź też ankiety wypełnianej przez ewentualnych klientów administratora.

Odejście od sugerowanego przez wyniki konsultacji rozwiązania powinno być uzasadnione w dokumentacji. Podobnie wygląda przypadek, gdy administrator nie zasięga opinii osób, których dane ulegają przetwarzaniu.

statlook – oprogramowanie wspomagające ochronę danych

Wejście RODO w życie nadchodzi wielkimi krokami; dlatego też każdy profesjonalny program do zarządzania administracją IT będzie musiał spełniać standardy zawarte w Rozporządzeniu.

To, co sprawi, że dany program będzie wyjątkowy, to fakt, że poza spełnianiem założeń RODO, będzie również ułatwiał jego wdrożenie w firmie i ułatwiał pracę administratora poprzez automatyzację procesów. Proste i przejrzyste w obsłudze oprogramowanie to efektywna i staranna praca – a na tym zyskuje cała instytucja.

Chcesz wiedzieć więcej o RODO? Zapraszamy na webinarium, na którym dowiesz się więcej o praktycznych możliwościach implementacji RODO i tego, z czym cały proces się wiąże.

Zapisz się na darmowy webinar dotyczący implementacji RODO!

Artykuł sponsorowany
Źródło artykułu:Artykuł sponsorowany
© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA