Ocena skutków przetwarzania według RODO – z czym to się je?

Ocena skutków przetwarzania według RODO – z czym to się je?

Ocena skutków przetwarzania według RODO – z czym to się je?
Źródło zdjęć: © Materiały prasowe
14.11.2017 10:39, aktualizacja: 14.11.2017 17:16

RODO wiąże się z wieloma zmianami w dotychczasowej rutynie pracy administratora – także w gestii konieczności wdrażania nowych procedur. Do nich należy „ocena skutków przetwarzania”. Odpowiedzmy sobie na pytanie, czym jest owa procedura i z jakich powodów RODO nakłada ten obowiązek.

Wchodzące w życie 25 maja 2018 roku rozporządzenie o ochronie danych nakłada na administratorów nowy obowiązek określany jako Privacy Impact Assesssment (PIA). Czynność ta, znana na polskim gruncie jako ocena skutków ochrony danych, ma za zadanie:

  • Określenie, czy przetwarzanie danych odbywa się zgodnie z założeniami RODO;
  • Rozpoznanie ewentualnych zagrożeń;
  • Ograniczenie ilości naruszeń prywatności.

Kiedy należy wykonać PIA?

Według unijnych przepisów, ocenę skutków przetwarzania danych należy przeprowadzić, gdy pojawią się przynajmniej dwie z poniższych przesłanek:

  1. Przetwarzanie jest zautomatyzowane (np. profilowanie) i wywołuje skutki prawne wobec osoby fizycznej;
  2. Przetwarzanie dotyka dane wrażliwe;
  3. Podczas przetwarzania łączy się różne zbiory danych;
  4. Przetwarza się dane osób, które mogą mieć problem ze sformułowaniem sprzeciwu – np. dzieci
  5. Zakłada się użycie innowacyjnych technologii;
  6. Przetwarzanie utrudnia osobie, której dane ulegają procesowi, wykonywanie należących do niej praw.

Spełnienie tylko jednej przesłanki oznacza, że procedura PIA jest możliwa – pod warunkiem uzasadnienia jej rozpoczęcia konkretnymi okolicznościami sugerującymi zagrożenie bezpieczeństwa danych.

Przejrzystość archiwizowania dokumentacji gwarantuje, że wykonanie PIA będzie zawsze podjęte na solidnych podstawach. Używając oprogramowania zaprojektowanego specjalnie do wspomagania wdrożenia założeń RODO w życie – przykładem którego jest statlook RODO – możesz usprawnić swój proces decyzyjny.

W jakich sytuacjach procedura PIA nie jest potrzebna?

Istnieją również sytuacje, w których podjęcie procedury oceny skutków przetwarzania nie będzie konieczne. Nie wymaga się go, gdy:
a) Przetworzone dane zostały już dopuszczone do podobnej procedury,
b) Przetwarzanie ma silną podstawę prawną w prawie UE lub prawie państwa członkowskiego,

Dodatkowo, według założeń RODO organ nadzorczy sprawujący pieczę nad przetwarzaniem danych (w Polsce od maja 2018 roku będzie to Prezes Urzędu Ochrony Danych Osobowych) ma możłiwość stworzenia wykazu operacji przetwarzania, które nie będą wymagać podjęcia PIA.

Pod znakiem zapytania stoją m.in. systemy CRM, do których użytkownicy wprowadzają pewien zakres danych, jednak nie wymagają one podania danych wrażliwych. Zawężenie typu danych, które mogą stanowić ryzyko dla wolności lub praw klienta ma za zadanie rozwiać wątpliwości dotyczące konieczności przeprowadzenia oceny.

Jak wygląda przebieg oceny skutków przetwarzania?

W gestii dobrania metody przeprowadzenia oceny skutków przetwarzania, RODO pozostawia swobodę administratorowi. Niemniej jednak, wyróżnia ono minimalne elementy oceny skutków dla ochrony danych. Są to:

  • Ustystematyzowany opis planowanych operacji i celów przetwarzania; wlicza się w to również prawnie uzasadnione interesy administratora, jeżeli to kryterium leży u podstaw rozpoczęcia procedury;
  • Ocena ryzyka naruszenia praw lub wolności osób, których dane ulegają przetwarzaniu;
  • Opis śródków zaradczych mających na celu zminimalizowanie zagrożenia danych osobowych;
  • Opis mechanizmów bezpieczeństwa udowodniających przestrzeganie przepisów RODO.

Z kim administrator konsultuje process oceny przetwarzania danych?

Proces oceny przetwarzania danych wymaga zasięgnięcia opinii odpowiednich osób bądź organów w celu zapewnienia informacjom odpowiedniego poziomu bezpieczeństwa. Jak to będzie wyglądać w praktyce?

  • Wyznaczenie inspektora ochrony danych (IOD) obliguje administratora do konsultowania z nim przebiegu oceny;
  • Przed rozpoczęciem przetwarzania, administrator zasięga opinii osób, których dane ulegną procesowi lub ich przedstawiecieli;
  • W przypadku, jeżeli przetwarzanie jest objęte wysokim poziomem ryzyka, a administrator nie podjął środków zaradczych w celu jego zmniejszenia, powinien to skonsultować z organem nadzorczym (PUODO).

W przypadku konsultacji z osobami, których dane ulegają przetwarzaniu, forma ich przeprowadzenia w wysokim stopniu zależy od kontekstu. Może to się odbyć na zasadzie skierowania formalnych zapytań do pracowników lub ich przedstawicieli, bądź też ankiety wypełnianej przez ewentualnych klientów administratora.

Odejście od sugerowanego przez wyniki konsultacji rozwiązania powinno być uzasadnione w dokumentacji. Podobnie wygląda przypadek, gdy administrator nie zasięga opinii osób, których dane ulegają przetwarzaniu.

statlook – oprogramowanie wspomagające ochronę danych

Wejście RODO w życie nadchodzi wielkimi krokami; dlatego też każdy profesjonalny program do zarządzania administracją IT będzie musiał spełniać standardy zawarte w Rozporządzeniu.

To, co sprawi, że dany program będzie wyjątkowy, to fakt, że poza spełnianiem założeń RODO, będzie również ułatwiał jego wdrożenie w firmie i ułatwiał pracę administratora poprzez automatyzację procesów. Proste i przejrzyste w obsłudze oprogramowanie to efektywna i staranna praca – a na tym zyskuje cała instytucja.

Chcesz wiedzieć więcej o RODO? Zapraszamy na webinarium, na którym dowiesz się więcej o praktycznych możliwościach implementacji RODO i tego, z czym cały proces się wiąże.

Źródło artykułu:Artykuł sponsorowany
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (1)