Przygotuj się na stosowanie RODO- Ocena skutków przetwarzania danych.

Kontynuując cykl artykułów dotyczących przygotowania się Administratora Ochrony Danych (ADO) na rozpoczęcie stosowania nowych przepisów dziś omówienie bardzo istotnej kwestii, którą jest ocena skutków przetwarzania danych osobowych – ang. Privacy Impact Assessment (PIA).  Zasadniczym pytaniem, na które na wstępie należy odpowiedzieć jest ustalenie kiedy mamy obowiązek dokonać takiej oceny. Przepisy w tym zakresie wskazują na sytuacje, gdy ze względu na  charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może wystąpić  wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wówczas ADO zobowiązany jest przed rozpoczęciem dokonania przetwarzania danych osobowych dokonać takiej oceny. Aby taka ocenę dokonać musi wiedzieć już na czym dokładnie będzie polegać czynność jaka będzie wykonywał, a więc w jakim stopniu i zakresie planuje przetwarzać dane osobowe.   Dokonując takiej oceny ADO powinien konsultować się z Inspektorem Ochrony Danych Osobowych jeżeli takiego wyznaczył. Jego zdanie jest tutaj również istotne. 

Zgodnie z nowymi przepisami oceny skutków w szczególności należy dokonać  sytuacji, gdy: dokonujemy systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej, przetwarzamy  na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (wszelkiego rodzaju monitoring). Organ nadzoru w danym kraju również może sporządzić wykaz czynności, które takiej ocenie będą podlegały. 

Jak przygotować prawidłowo ocenę skutków? 

Mając wiedzę jaki proces chcemy wdrożyć w naszym przedsiębiorstwie lub jaką nowa procedurę rozpocząć jesteśmy w stanie prawidłowo dokonać oceny.  Najlepiej jest przygotować na takie okoliczności procedurę lub, która będzie można powtarzać w takich sytuacjach i zawierać będzie kroki niezbędne do jej przeprowadzenia. W pierwszej kolejności musimy opisać planowaną operacje przetwarzania, na czym dokładnie będzie polegała i w jakim celu ma być przeprowadzana. Kolejnym etapem jest rozważenie czy operacje przetwarzania danych których będziemy dokonywać są niezbędne ze względu na cele przetwarzania. Należy również dokonać oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą czyli przede wszystkim określić jak jest ono duże. Ponadto określić jakie może być to ryzyko w danej sytuacji. Mając już ustalone te wszystkie elementy dochodzimy do ostatniego i jednocześnie najważniejszego elementu oceny skutków czyli środków jakie możemy podjąć i wcielić w życie aby zabezpieczyć dane i przetwarzać je zgodnie z obowiązującymi przepisami. 

Gdy rozpoczniemy przetwarzanie danych osobowych ADO powinien pamiętać o dokonywaniu przeglądu tych operacji i aktualizowania oceny skutków, zwłaszcza jeżeli nastąpi zmiana ryzyka ich naruszenia. 

Listopad 12th, 2017 by

Newsletter

FreshMail.pl