Portal bezpiecznego e-biznesu

Kilka słów na temat: RODO. Część 3

 Kilka słów na temat: RODO. Część 3

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi
Do 25 maja jest coraz bliżej, dlatego właśnie przechodzimy do kolejnego tematu bardzo dyskusyjnego jakim jest
ocena skutków dla ochrony danych i kiedy należy ją przeprowadzić.
Kilka słów na temat: RODO. Część 3

Podstawa prawna:

Art.35 RODO

1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

2. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

3. Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.


4. Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68.

5. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych.

6. Jeżeli wykazy, o których mowa w ust. 4 i 5, obejmują czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii, przed przyjęciem takich wykazów właściwy organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63.

7. Ocena zawiera co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

8. Oceniając – w szczególności do celów oceny skutków dla ochrony danych – skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzający, uwzględnia się przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania, o których mowa w art. 40.

9. W stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

10. Ust. 1–7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.

11. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.


Za nim jednak zaczniemy samą ocenę to Administrator danych i przetwarzający powinni ustalić co rozumieją przez odpowiednie środki ochrony danych, a ocena następuje dalej. Na czym polega tak naprawdę ocena skutków dla ochrony danych (data protection impast assessment – DPIA) i kiedy należy ją przeprowadzić?

Ocena skutków dla ochrony danych to proces opisujący przetwarzanie, ocenienie niezbędności i proporcjonalności przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikających z przetwarzania danych. Sama ocena ma na celu rozliczalność, która ma udowodnić, że administrator wykonał wszelkie możliwe czynności związane z zachowaniem odpowiednich środków bezpieczeństwa. Dzięki temu mamy pewność, że zapewniliśmy bezpieczeństwo osobom fizycznym, których dane są przetwarzane i wszystko jest wykonywane zgodnie z literą prawa.

W niektórych dziedzinach ocena skutków ochrony danych jest obowiązkowa, szczególnie jeżeli mówimy o: użyciu nowych technologii, ze względu na swój charakter, zakres, kontekst i cel z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Sytuacje, w których jest wymagana ocena – jeżeli dochodzi o :

  1. systematycznej, kompleksowej oceny czynników odnoszących się do osób fizycznych, która opiera się na zautomatyzowanie przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osób fizycznych lub w podobny sposób znacząco wpływają na osobę fizyczną.
  2. przetwarzanie na duża skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących, lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Wobec takich 3 sytuacji najczęściej wymagane będzie powoływanie Inspektora Ochrony Danych, o którym wspominaliśmy już wcześniej w poprzednich artykułach. Samo RODO wskazuje na kilka elementów, które muszą znaleźć się w ocenie skutków dla ochrony danych osobowych, a są one wymienione w art.35 pkt. 7 ( znajduje się również powyżej)


  1. Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
  2. Ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
  3. Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  4. Środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenie oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Sporządzenie oceny zaleca się stworzyć dla sytuacji gdyby trzeba było przedstawić ją dla organów nadzorczych.

Tak jak w poprzednim artykule zachęcamy do zadawania pytań i do dyskusji pod artykułem.

Źródła:

  1. Dr Paweł Litwiński ,Przewodnik po RODO dla małych i średnich przedsiębiorców. Ministerstwo Przedsiębiorczości i Technologii. Warszawa 2018 r.

Komentarze

‹ Poprzedni artykułZmiana regulaminu Facebooka dotycząca mowy nienawiści Następny artykuł ›Ocena pracownicza 360 stopni - co warto wiedzieć?

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci. Wcale nie spam. Zapisz się do Newslettera.

Drukarnia Fortuny - kalendarze

Adwokat Art. 178A KK Katowice

Legalniewsieci.pl © 2024. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się