Odpowiedzi na pytania GIODO część III

Pytanie nr 10 Czy sprawdziłeś, czy jesteś zobowiązany do dokonania oceny skutków w zakresie ochrony danych i wiesz, jak ja przeprowadzić?

Według rozporządzenia i wytycznych Grupy Roboczej Art. 29 ocenę skutków ochrony danych (DPIA) należy obowiązkowo dokonać tylko gdy przetwarzanie danych z dużym prawdopodobieństwem może powodować naruszenie praw i wolności. W sytuacjach gdy nie jest jasne czy należy dokonać DPIA zalecane jest przez Grupę Robocza Art. 29 żeby jednak go dokonać. Rozporządzenie przykładowo wskazuje kiedy mamy duże prawdopodobieństwo: 1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Pytanie nr 12 Czy dokonujesz profilowania osób? Jeśli tak, to czy wiesz, jakie warunki

musisz spełnić, aby działanie to było legalne?

„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się; 

Pytanie nr 13 Czy jesteś gotowy do wykrycia, analizy i zgłoszenia naruszenia ochrony danych? Czy wiesz, jakie działania musisz podjąć w przypadku wystąpienia takiego incydentu?

W przypadku naruszenia ochrony danych administrator zobowiązany będzie do ich wykrycia, analizy i zgłoszenia naruszenia danych. Administrator ma obowiązek zgłoszenia bez zbędnej zwłoki  w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłoszenia ich do  organu nadzorczemu właściwemu. Jeżeli będziemy w roli podmiotu przetwarzającego zgłaszamy je administratorowi  danych. Administrator  musi również zawiadomić  osobę, której dane dotyczą  jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Pytanie nr 14 Czy sprawdziłeś, czy jesteś zobowiązany do wyznaczenia inspektora ochrony danych?

 

Administrator danych musi powołać obligatoryjnie Inspektora ochrony Danych Osobowych, który ma zastąpić ABI jeżeli:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

 

Można wyznaczyć Inspektora także dobrowolnie. Pojawił się pomysł w trakcie konsultacji polskich przeprowadzonych przez GIODO by automatycznie obecny ABI zamienił się w Inspektora. W wytycznych Grupy nr 29 dotyczących Inspektora Ochrony Danych Osobowych zaleca się aby administratorzy, którzy nie wyznaczą inspektora udokumentowali wewnętrzną procedurę  ustalenia braku obowiązku jego wyznaczenia.  W tym zakresie Grupa Robocza Art. 29 wydała również wytyczne.

Pytanie nr 16 Czy dokonałeś analizy dotychczasowych umów powierzenia, tak by podmioty przetwarzające (procesory) spełniały wszystkie wymagania wynikające z rozporządzenia?

Wymagania dotyczące powierzenia danych przewidziane w rozporządzeniu:

1)administrator powinien korzystać z  usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych;

2) przetwarzanie odbywa się na podstawie umowy lub innego instrumentu prawnego określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora;

3) podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy, podejmuje wszelkie środki wymagane przy bezpiecznym przetwarzaniu (np. pseudonimizację i szyfrowanie danych osobowych), przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule, po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane

4) można podpowierzyć przetwarzanie danych osobowych innemu podmiotowi ale tylko za zgoda administratora  danych;

Czerwiec 11th, 2017 by

Newsletter

FreshMail.pl