Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

Ocena skutków dla ochrony danych. Kiedy należy przeprowadzić DPIA i na czym ona polega?

Dodano: marzec 13, 2020 Kategoria: Ogólne rozporządzenie o ochronie danych osobowych (RODO) Autor: Katarzyna Witkowska-Nowakowska

Zgodnie z art. 35 RODO, po stronie administratora może powstać obowiązek przeprowadzenia oceny skutków dla ochrony danych (ang. Data protection impact assessment – DPIA). Na czym polega DPIA i kiedy jej prowadzenie jest obligatoryjne?

Czym jest ocena skutków dla ochrony danych?
Odpowiedź na to pytanie sformułowała Grupa Robocza Art. 29 w swoich wytycznych dotyczących właśnie DPIA (dokument WP 248, dostępny tutaj: https://uodo.gov.pl/pl/10/9). Grupa Robocza definiuje ocenę skutków dla ochrony danych jako proces, który pozwala opisać przetwarzanie, ocenić jego konieczność i proporcjonalność oraz wesprzeć zarządzanie ryzykiem naruszenia praw lub wolności osób fizycznych, wynikającym z ocenianego przetwarzania poprzez ocenę ryzyka i ustalenie środków pozwalających temu ryzyku zaradzić. Grupa Robocza wyjaśnia także, że na DPIA należy patrzeć jak na proces mający istotne znaczenie dla budowania rozliczalności.

Kiedy należy przeprowadzić ocenę skutków dla ochrony danych?
Jeżeli planowany rodzaj przetwarzania, ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek przeprowadzenia oceny skutków dla ochrony danych, zanim podejmie to przetwarzanie.

Ocena skutków dla ochrony danych, jest wymagana w szczególności w przypadku:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO; lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Ocena skutków dla ochrony danych musi być akutalizowana przynajmniej wtedy, kiedy zmienia się ryzyko wynikające z operacji przetwarzania.

Jeżeli administrator wyznaczył inspektora ochrony danych, powinien z nim konsultować prowadzenie oceny skutków dla ochrony danych.

Elementy DPIA
RODO przewiduje minimalny zakres elementów, które należy uwzględnić prowadząc DPIA. Zakres ten obejmuje:

  1. systematyczny opis planowanych operacji przetwarzania oraz celów przetwarzania, ze szczególnym uwzględnieniem prawnie uzasadnionych interesów realizowanych przez administratora, jeżeli działa on na podstawie tej przesłanki;
  2. Ocenę niezbędności oraz proporcjonalności operacji przetwarzania w stosunku do ustalonych celów przetwarzania;
  3. Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą związanego z danymi operacjami przetwarzania;
  4. Wykaz środków planowanych w celu zaradzeniu ryzyku, uwzględniający zabezpieczenia oraz środki i mechanizmy bezpieczeństwa, które mają zapewniać ochronę danych osobowych i wykazać przestrzeganie RODO.

Zważywszy na wiążącą go zasadę rozliczalności, administrator powinien odpowiednio udokumentować każdy element oceny skutków dla ochrony danych.

Wykaz operacji wymagających DPIA
Organ nadzorczy (w Polsce – Prezes Urzędu Ochrony Danych Osobowych), ustanawia wykaz rodzajów operacji przetwarzania, które podlegają obligatoryjnie ocenie skutków dla ochrony danych. Wykaz operacji, których prowadzenie powoduje obowiązek dokonania DPIA można znaleźć tutaj (link: http://monitorpolski.gov.pl/MP/2019/666).  Zgodnie z wyjaśnieniami PUODO, jeżeli przetwarzanie spełnia przynajmniej dwa z ustalonych w wykazie kryteriów, wymaga prowadzenia DPIA. PUODO podkreśla jednak, że ostateczna ocena każdego  przypadku zależy od administratora. Może on bowiem uznać, że przetwarzanie spełniające tylko jedno z kryteriów ustalonych w wykazie także wymaga prowadzenia DPIA.

 

W ww. wykazie operacji znaleźć można m.in. przykłady:

  • operacji dokonywanych przez firmy marketingowe media społecznościowe obejmujących profilowanie użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej,
  • działań w ramach programów marketingowych obejmujących profilowanie np. poprzez monitorowanie zakupów i preferencji zakupowych,
  • Przetwarzania danych przez szpitale i organizacje prowadzące badania kliniczne,
  • Operacji przetwarzania w ramach systemów rozpoznawania twarzy, weryfikacji tożsamości w miejscu pracy w celu kontroli dostępu,
  • Działań marketingowych obejmujących pobieranie danych z różnych źródeł, zawierających dane nt. klientów, w celu prowadzenia ukierunkowanych na określone grupy docelowe akcji marketingowych np. poprzez łączenie danych z różnych rejestrów państwowych lub publicznych.

 

Organ nadzorczy może także ustanowić wykaz operacji, które nie podlegają wymogowi dokonania DPIA. Na dzień 2 marca 2020 r. PUODO nie opracował takiego wykazu. Listę operacji, które prowadzić można bez uprzedniego dokonywania oceny skutków dla ochrony danych, ustalił i opublikował natomiast francuski organ nadzorczy, czyli Commission Nationale de l’Informatique et des Libertés (CNIL). Wykaz dostępny jest tutaj: https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-non-requise.pdf). W wykazie tym znaleźć można m.in. przykłady:

  • Przetwarzania danych dot. zdrowia w zakresie niezbędnym do zapewnienia opieki medycznej w ramach jednoosobowej działalności leczniczej w gabinecie lekarskim, aptece lub laboratorium, polegające m.in. na umawianiu wizyt pacjentów, prowadzeniu rozliczeń, zapewnianiu komunikacji między personelem placówki niezbędnej w procesie leczenia,
  • Przetwarzania prowadzonego wyłącznie w celu zarządzania kontrolą dostępu i ewidencjonowania czasu pracy, nieobejmującego wykorzystania urządzeń biometrycznych czy danych sensytywnych,
  • Przetwarzania prowadzonego przez adwokatów świadczących usługi w ramach jednoosobowej działalności gospodarczej,
  • Przetwarzania danych przez pracodawców zatrudniających mniej niż 250 osób prowadzonego stricte w celach zarządzania zasobami ludzkimi zgodnie z przepisami prawa, pod warunkiem, że przetwarzanie to nie obejmuje profilowania (np. zarządzanie kwestiami płacowymi, stołówką dla pracowników, kontrola czasu pracy, rozliczenia wydatków służbowych, prowadzenie obowiązkowych rejestrów).
Post Views: 7 703

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

Katarzyna Witkowska-Nowakowska

Katarzyna Witkowska-Nowakowska
Prawnik

2024 © portalodo.com Wszelkie prawa są chronione

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do analityki działania strony.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy,
2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych, a na podstawie Twojej zgody wysyłaniu do Ciebie newslettera. Będziemy także analizowali czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. Jeżeli wyrazisz zgodę na otrzymywanie komunikatów marketingowych również na Twój adres e-mail, to podstawą prawną będzie także art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas,
2. dostawcom narzędzi służących do:
a. analityki działania strony,
b. dostawcom narzędzi służących do wysyłania newsletterów.Jak długo będziemy przetwarzać Twoje dane?1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy,
2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

close

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627.Jak możesz się z nami skontaktować?listownie: ul. Żwirki 17, 90-539 Łódź
e-mailem na adres: [email protected]Jakie masz prawa?1. dostępu do Twoich danych,
2. ich poprawiania,
3. żądania ich usunięcia,
4. ograniczenia przetwarzania,
5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych.Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi?Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych.Po co nam Twoje dane, czyli w jakim celu je przetwarzamy?W celu marketingu nas i naszych usług, w tym w celu wysyłania do Ciebie naszego newslettera, a także analizowania czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej.Czy musisz podawać nam swoje dane?Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera.Na jakiej podstawie prawnej przetwarzamy Twoje dane?1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia.
Naszym prawnie uzasadnionym interesem jest prowadzenie marketingu własnych usług, a także analizowanie czy czytasz nasze newslettery, i które z informacji w nich zawartych czytasz najchętniej.
2. art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne.Komu przekażemy Twoje dane?1. Dostawcom narzędzi do:
a. analityki ruchu na stronie,
b. wysyłki newsletterów,
2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas.Jak długo będziemy przetwarzać Twoje dane?Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu?Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane:
1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać,
2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.