Czym jest DPIA i kiedy trzeba je stosować ?

W skrócie jest to proces oceny skutków przetwarzania danych osobowych, który zobowiązany jest dokonać Administrator Ochrony Danych Osobowych zgodnie z rozporządzeniem RODO, które zacznie obowiązywać w przyszłym roku.  Jak wskazuje wprost art. 35 rozporządzenia administratorzy nie zawsze będą zobowiązani do przeprowadzenia procedury oceny.  Administrator musi najpierw stwierdzić czy rodzaj przetwarzania jakie ma zamiar prowadzić ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli dojdzie do wniosku że tak będzie i odpowiedz na tak postawione pytanie będzie twierdząca zobowiązany jest przeprowadzić ocenę skutków. Oceny należy dokonać zanim administrator rozpocznie przetwarzanie. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Jak wskazuje rozporządzenie ocena skutków wymagana jest szczególnie w sytuacji:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa;
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie;

Ponadto organ nadzorczy może ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Dokonując samej oceny administrator powinien konsultować się z Inspektorem Ochrony Danych jeżeli został on wyznaczony, bowiem nie każdy musi go wyznaczyć. Inspektor zobowiązany jest w tym zakresie udzielić administratorowi stosownych zaleceń co do oceny skutków. Dokonując takiej oceny uwzględnić również należy reguły wyrażone w kodeksach postępowania wypracowanych dla pewnych grup podmiotów. Obecnie takie reguły dla nowych regulacje nie zostały wypracowane ale z czasem poszczególne grupy wytworzą pewnie swoje standardy postępowania. Wskazać również należy, że na taki proces składają się również bardzo ważnej konsultacji, zasięgnięcia opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania.

Nie zawsze jednak administrator będzie musiał przeprowadzić ocenę skutków przetwarzania danych. Będzie się tak działo między innymi w sytuacji gdy przetwarzanie  ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej. Ponadto nie trzeba jej przeprowadzać gdy występuje szczątkowe ryzyko naruszenia danych osobowych. Po zakończeniu oceny i rozpoczęciu przetwarzania danych osobowych administrator powinien dokonywać przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych dokonaną wcześniej.

Maj 16th, 2017 by

Newsletter

FreshMail.pl