OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

Podobne dokumenty
Paweł Makowski Radca GIODO

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Maciej Byczkowski ENSI 2017 ENSI 2017

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Europejskie rozporządzenie o ochronie danych osobowych (RODO) wymogi praktyczne i wdrożenie w każdej firmie Biskupiec

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ocena skutków przetwarzania

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

Opinia 18/2018. w sprawie projektu wykazu sporządzonego przez właściwy portugalski organ nadzorczy. dotyczącego

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

przyjęta 4 grudnia 2018 r. Tekst przyjęty

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Opinia 3/2018. w sprawie projektu wykazu sporządzonego przez właściwy bułgarski organ nadzorczy. dotyczącego

Opinia 12/2018. dotyczącego. rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (art. 35 ust.

Reforma regulacyjna sektora bankowego

przyjęta 4 grudnia 2018 r. Tekst przyjęty

GRUPA ROBOCZA ART. 29

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

ZAŁĄCZNIK SPROSTOWANIE

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

Przyjęte w dniu 4 kwietnia 2017 r.

Ochrona danych osobowych

PRELEGENT Przemek Frańczak Członek SIODO

rodo. ochrona danych osobowych.

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

Monitorowanie systemów IT

przyjęta 12 marca 2019 r. Tekst przyjęty 1

Nowe przepisy i zasady ochrony danych osobowych

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

rodo. naruszenia bezpieczeństwa danych

Nowe podejście do ochrony danych osobowych. Miłocin r.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Ochrona danych osobowych, co zmienia RODO?

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Spis treści. Wykaz skrótów... Wprowadzenie...

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

ECDL RODO Sylabus - wersja 1.0

Ochrona danych osobowych w biurach rachunkowych

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

ADWOKAT URSZULA DANILCZUK-KARNAS TEL.:

Niepełnosprawność: szczególna kategoria danych osobowych

RODO Nowe zasady przetwarzania danych osobowych. radca prawny Piotr Kowalik Koszalin, r.

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Spis treści. Wykaz skrótów... Wprowadzenie...

RODO w firmie transportowej RADCA PRAWNY PAWEŁ JUDEK

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

System wspomagania pracy Administratora Bezpieczeństwa Informacji Opis zmian w wersji

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Załącznik Nr 4 do Umowy nr.

PARLAMENT EUROPEJSKI

Czym jest RODO? Czym jest przetwarzanie danych osobowych?

RODO, czyli co się zmieni oraz do czego (i jak) trzeba się przygotować.

SPOTKANIE INFORMACYJNE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Ryzyko nadmiernego przetwarzania danych osobowych

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Pierwsze doświadczenia w wykonywaniu funkcji IODy

Polityka Ochrony Danych Osobowych W

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Które i jakie organizacje będą zobowiązane do wyznaczenia inspektora ochrony danych (IOD/DPO)

Title of the presentation Date #

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Z praktyki zespołu audytorów ochrona danych osobowych dziś i po rozpoczęciu obowiązywania Rozporządzenia unijnego

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

Załącznik Nr 4b Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy Nr..

Trener: Aleksandra Piotrowska Łódź, 13 czerwca 2018 r.

Wprowadzenie. Prawno - Proceduralne. Organizacyjno-procesowe. Techniczny/Bezpieczeństwo

(Tekst mający znaczenie dla EOG)

PRZETWARZANIE DANYCH PRZEZ ADMINISTRATORA

Wprowadzenie do RODO. Dr Jarosław Greser

Akademia RODO - Rola i obowiązki Inspektora Ochrony Danych Osobowych (IOD) w organizacji

Transkrypt:

OCENA SKUTKÓW DLA OCHRONY DANYCH OSOBOWYCH BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 23 lutego 2016 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa kancelaria@giodo.gov.pl

PLAN Prezentacji Definicja DPIA Czemu ma służyć DPIA Kiedy należy przeprowadzać DPIA Co należy uwzględniać przeprowadzając DPIA Jak przeprowadzać DPIA (Metodologia) Kiedy wymagana jest konsultacja z organem nadzorczym ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 2

Ocena skutków ochrony danych - definicja Art. 35 RODO Ocena skutków dla ochrony danych osobowych DPIA) - to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych. Niedokonanie oceny skutków dla ochrony danych, gdy jest to wymagane (artykuł 35 ust. 1 i 3) lub niewłaściwe jej wykonanie (art. 35 ust. 2 i 7) a także niewłaściwe działania następcze (artykuł 36 ust. 3 lit. e), mogą skutkować nałożeniem kary pieniężnej w wysokości do 10 milionów EURO. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 3

Czemu ma służyć DPIA i kiedy jest wymagana? Zgodnie z podejściem opartym na ryzyku - przeprowadzenie DPIA ma służyć dogłębnej ocenie ryzyka na jakie narażone jest przetwarzanie danych osobowych i wprowadzeniu środków zaradczych ograniczających to ryzyko do akceptowalnego poziomu, gdy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych Celem niniejszego dokumentu jest określenie kontekstu, kiedy DPIA jest wymagane i wyjaśnienie istotnych w tym zakresie przepisów RODO, aby pomóc administratorom w przestrzeganiu prawa i zapewnienia pewności prawnej dla administratorów, którzy są zobowiązani do przeprowadzenia DPIA. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 4

Czemu ma służyć DPIA i kiedy jest wymagana? Art. 35 RODO wskazuje, że DPIA powinno być przeprowadzane jeżeli dane przetwarzane są w szczególności z użyciem nowych technologii i może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena taka jest wymagana w szczególności w przypadku: 1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; 2) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub 3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 5

Czemu ma służyć DPIA i kiedy jest wymagana? Czy istnieje duże prawdopodobieństwo spowodowania wysokiego ryzyka? (art. 35 ust 1, 3 i 4) Konsultacje z DPO (art. 35 ust. 2) Monitorowanie realizacji (art. 39 ust. 1 lit. c) Kodeksy postępowania (art. 35 ust. 8) Zasięganie opinii osób, których dane dotycza (art. 35 ust 9) Nie Tak Wyjątek? (art.. 35 ust 5 i 10) Nie jest potrzebna DPIA Tak Nie DPIA (art. 35 ust. 7) Szczątkowe wysokie ryzyko? (art. 36 ust. 1) Przetwarzanie poddane przeglądowi przez administratora (art. 35 ust 11) Nie Brak uprzednich konsultacji Tak Uprzednie konsultacje ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 6

Czemu ma służyć DPIA i kiedy jest wymagana? Celem wydanego przewodnika jest dążenie do spójnego stosowania niniejszego rozporządzenia we wszystkich krajach członkowskich poprzez ustalenie: wspólnego dla UE wykazu operacji przetwarzania, dla których DPIA jest obowiązkowa (artykuł 35 ust. 4); wspólnego dla UE wykazu operacji przetwarzania, dla których DPIA nie jest konieczna (artykuł 35 ust. 5); wspólnych kryteriów dotyczących metodologii przeprowadzenia DPIA (artykuł 35 ust. 7); wspólnych kryteriów określenia, kiedy należy się konsultować z organem nadzorczym (artykuł 36 ust. 1). ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 7

10 przypadków, które stwarzają wysokie ryzyko naruszenia ochrony danych W wytycznych Grupa Art. 29 wskazuje 10 klategorii operacji przetwarzania, które należy uznać za operacje wnoszące wysokie ryzyko naruszenia praw i wolności. Do kategoeii tych zaliczono: 1) Ewaluację lub ocenę, w tym profilowanie i przewidywanie, szczególnie aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą. Bank oceniający zdolność kredytowa na podstawie analizy danych z BIK. Poradnia biotechnologiczna oferująca testy genetyczne i ich ocenę System e-learningowy, który na podstawie ilości czasu spędzonego nad materiałami oraz wyników testu ocenia predyspozycje (zdolności) studenta. 2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne lub podobne istotne skutki. System odcinkowej kontroli prędkości, gdzie kamery rejestrują czas wjazdu na dany odcinek i wyjazdu a następnie wyliczają średnią prędkość i przekazują dane do wystawienia mandatu. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 8

10 przypadków, które stwarzają wysokie ryzyko naruszenia ochrony danych 3) Systematyczne monitorowanie, tj. przetwarzanie wykorzystywane do obserwacji, monitorowania i kontroli osób, których dane dotyczą, w tym dane zbierane poprzez systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Rejestrowanie obrazu dla określonego miejsca, np. osób wchodzących i wychodzących z restauracji, hotelu; Rozpoznawanie osób z wykorzystaniem systemu rozpoznawania wizerunku i rejestrowanie ich w bazie klientów (rozpoznanie może być wykonane bez wiedzy osób ich dotyczących). 4) Dane wrażliwe, w tym dane obejmujące szczególne kategorie danych określonych w artykule 9 i 10. Rejestr dokumentacji medycznej prowadzony przez szpital; Prywatny detektyw przechowujący dane dotyczące przestępców; Przetwarzanie danych biometrycznych, np. system kontroli wejścia na stadion; Dane dotyczące przeprowadzanych operacji finansowych; Dane dotyczące lokalizacji. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 9

10 przypadków, które stwarzają wysokie ryzyko naruszenia ochrony danych 5) Dane przetwarzane na dużą skalę, tj. dane, których: a) liczba osób, których dane dotyczą konkretna liczba albo procent określonej grupy społeczeństwa; b) zakres przetwarzanych danych osobowych; c) okres, przez jaki dane są przetwarzane; d) zakres geograficzny przetwarzania danych osobowych. Rejestrowanie danych dotyczących zużycia energii przez liczniki inteligentne z częstotliwością co 15 minut; Przetwarzanie danych lokalizacyjnych w określonym przedziale czasu, np. w godzinach pracy; Przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich ; Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 10

10 przypadków, które stwarzają wysokie ryzyko naruszenia ochrony danych 6) Dokonano porównania lub połączenia zestawów danych: na przykład pochodzących z dwóch lub większej liczby operacji przetwarzania prowadzonych w różnych celach i/lub przez różnych administratorów danych w sposób, który wykracza poza racjonalne oczekiwania osoby, której dane dotyczą. Zastosowanie technologii BigData. 7) Dane dotyczące osób wymagających szczególnej opieki, tj. jeżeli przetwarzanie tego rodzaju danych może wymagać DPIA ze względu na zwiększony brak równowagi sił między osobą, której dane dotyczą, a administratorem danych, co oznacza, że osoba może nie być w stanie wyrazić zgody na przetwarzanie jej danych lub sprzeciwić się takiemu przetwarzaniu. Przetwarzanie danych pracowników, uczniów; Przetwarzanie danych osobowych osób chorych psychicznie, osób ubiegających się o azyl, pacjentów. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 11

10 przypadków, które stwarzają wysokie ryzyko naruszenia ochrony danych 8) Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych. Zastosowanie biometrii uniemożliwiającej zmiany wzorca biometrycznego w przypadku utraty poufności (źródłą danej biometrycznej nie da się zmienić tak jak hasła); Zastosowanie biometrii wielomodalnej na przykład połączenie wykorzystania odcisków palców i rozpoznawania twarzy do usprawnienia fizycznej kontroli dostępu; Zastosowanie tej samej metody biometrycznej w różnych systemach uwierzytelniania (przyszłe konsekwencje łączenia danych z różnych źródeł); Internet przedmiotów i usługi geolokalizacyjne (przetwarzanie fotografii z metadanymi dotyczącymi lokalizacji). ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 12

10 przypadków, które stwarzają wysokie ryzyko naruszenia ochrony danych 9) Transgraniczne przekazywanie danych poza Unię Europejską. Koniecznośc sprawdzenia, czy przestrzegane sa prawa osoby do ochrony danych i wolności. 10) Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystania z usługi lub umowy (artykuł 22 i motyw 91). Dotyczy to przetwarzania prowadzonego w miejscu publicznym, którego przechodzący ludzie nie mogą uniknąć, lub przetwarzania, którego celem jest umożliwienie, zmiana lub odmowa dostępu osób, których dane dotyczą, do usługi lub zawarcia umowy. Monitorowanie otoczenia bankomatu, czy monitorowanie wejścia do urzędu; Sprawdzanie przez bank klientów w bazie informacji kredytowej; Sprawdzanie klientów w bazie informacji gospodarczej. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 13

Jak wymienione przypadki uwzględniać przy wymaganiach przeprowadzenia DPIA? Grupa Art. 29 co do zasady zaleca przeprowadzenia DPIA dla procesów przetwarzania danych, w których występują jednocześnie co najmniej dwa z wymienionych przypadków (kategorii przetwarzania danych). Co nie oznacza, że mogą być sytuacje, w których spełnione jest tylko jedno kryterium, ale przetwarzanie może tak istotnie wpływać na prawa i wolności osób, których dane są przetwarzane, że ocenę taka należy przeprowadzić (np. zastosowanie technologii blockchain do potwierdzenia uzyskania zgody na przetwarzanie danych, czy wprowadzania postów w portalach społecznościowych). Nie wyklucza się również sytuacji odwrotnych tzn. spełnione są 2 kryteria, ale technologia jest sprawdzona i nie wnoszą one wysokiego ryzyka w zakresie ochrony danych i wolności osób, których dane dotyczą. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 14

Kiedy przeprowadzenia DPIA nie jest wymagane? Wytyczne wskazują, że DPIA nie jest wymagane, jeżeli: - przetwarzanie z dużym prawdopodobieństwem nie spowoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1), - charakter, zakres, kontekst i cele przetwarzania są bardzo podobne to przetwarzania, dla którego została dokonana DPIA (art. 35 ust. 1), - gdy operacja przetwarzania ma podstawę prawną w prawie UE lub państwie członkowskiego i prawo reguluje określoną operację przetwarzania uwzględniając DPIA (zgodnie ze standardami RODO, DPIA w takich przypadkach jest wymagana w ramach ustanowienia tej podstawy prawnej (artykuł 35 ust. 10); - gdy przetwarzanie uwzględnione jest w opcjonalnym wykazie (ustanowionym przez organ nadzorczy) operacji przetwarzania niepodlegających wymogowi dokonania DPIA (art. 35 ust. 5). ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 15

Czy obowiązek przeprowadzenia DPIA dotyczy operacji wprowadzonych przed 25 maja 2018 r.? Wymóg dokonania DPIA dotyczy operacji przetwarzania spełniających kryteria wskazane w artykule 35 i rozpoczętych po tym, jak RODO zacznie mieć zastosowanie w dniu 25 maja 2018 r. GR Art. 29 zdecydowanie zaleca dokonanie DPIA dla operacji przetwarzania już trwających przed 25 maja 208 r. Ponadto, gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator obowiązany jest dokonać przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z rozporządzeniem. W ramach dobrych praktyk, DPIA należy nieustannie dokonywać dla istniejących czynności przetwarzania. Jednak należy dokonać ponownej oceny po 3 latach, być może wcześniej, w zależności od charakteru przetwarzania i stopnia zmiany operacji przetwarzania lub ogólnych okoliczności. Taka ocena jest również zalecana dla przetwarzania danych, które było prowadzone przed 25 maja 2018 r. i w związku z tym nie podlegało DPIA. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 16

Kiedy należy przeprowadzić DPIA? DPIA powinna zostać przeprowadzona przed rozpoczęciem przetwarzania (artykuł 35 ust. 1, 35 ust. 10, motyw 90 i 93). Jest to zgodne z ochroną danych w fazie projektowania oraz domyślną ochroną danych (artykuł 25 i motyw 78). DPIA powinna zostać rozpoczęta tak wcześnie jak jest to praktyczne w projektowaniu operacji przetwarzania danych, nawet jeśli niektóre operacje przetwarzania będą wciąż nieznane. Zalecane jest rozpoczęcia DPIA już na etapie tworzenia koncepcji rozwiązania danego problemu (celu przetwarzania) rekomendacje wynikające z raportu powstałego w ramach projektu PIAF zatytułowanego: Recommendations for a privacy impact assessment framework for the European Union. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 17

Kto powinien przeprowadzać DPIA? Administrator jest odpowiedzialny za zapewnienie przeprowadzenia DPIA (artykuł 35 ust. 2). Przeprowadzenie DPIA może zostać dokonane przez kogoś innego, wewnątrz albo na zewnątrz organizacji, natomiast to administrator pozostaje ostatecznie odpowiedzialny za to zadanie. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z IOD, jeżeli został on wyznaczony (artykuł 35 ust. 2) i ta konsultacja, jak również decyzja podjęta, powinna zostać udokumentowana w DPIA. DPO powinien również monitorować wykonanie DPIA (artykuł 39 ust. 1 lit. c.) Dalsze wytyczne wskazane są w wytycznych Grupy Roboczej dotyczących inspektora ochrony danych 16/EN WP 243. Jeśli przetwarzanie danych dokonywane jest całkowicie albo częściowo przez podmiot przetwarzający, podmiot ten powinien uczestniczyć w przeprowadzeniu DPIA i udzielać niezbędnych informacji. Administrator powinien zasięgnąć opinii osób, których dane dotyczą, lub ich przedstawicieli (artykuł 35 ust. 9). ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 18

Kto powinien przeprowadzać DPIA i z kim powinien konsultować? GR Art. 29 stoi na stanowisku, że: opinii dotyczących sposobu przetwarzania można szukać w różny sposób (np. wewnętrzne lub zewnętrzne badania, formalne pytanie do przedstawicieli pracowników lub związków zawodowych, itp; jeśli ostateczna decyzja administratora różni się od poglądów osób, których dane dotyczą, powody wykonania albo niewykonania decyzji powinny zostać udokumentowane; podmiot przetwarzający powinien również udokumentować uzasadnienie, aby nie zasięgać opinii osób, których dane dotyczą, jeśli uzna, że nie jest to właściwe; Jeżeli jednostki biznesowe zaproponują przeprowadzenie DPIA, jednostki te powinny następnie dostarczyć wkład do DPIA i być zaangażowane w proces walidacji; zaleca się zasięganie opinii niezależnych ekspertów różnych zawodów (certyfikowani audytorzy, prawnicy, technicy, eksperci ds. bezpieczeństwa, socjologowie, etycy itp.); ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 19

W jaki sposób przeprowadzać DPIA? RODO nie narzuca metodyki przeprowadzania DPIA. Określa natomiast minimalny jego zakres DPIA (art. 35 ust. 7 i motywy 84 i 90). W ramach DPIA należy wykonać: opis planowanych operacji przetwarzania i celów przetwarzania ; ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne ; ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą ; wskazać środki planowane w celu: - zaradzenia ryzyku, - przestrzegania rozporządzenia. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 20

W jaki sposób przeprowadzać DPIA? Opis przewidywanego przetwarzania Monitorowanie i przegląd Ocena niezbędności i proporcjonalności Dokumentacja Środki przewidziane w celu zapewnienia zgodności Środki przewidziane w celu zaradzenia ryzyku Ocena ryzyka naruszenia praw i wolności ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 21

W jaki sposób przeprowadzać DPIA? RODO zapewnia elastyczność administratorom danych w określeniu dokładnej struktury i formy DPIA, aby umożliwić dostosowanie do istniejących praktyk zawodowych. Wymaga się jednak, aby niezależnie od wybranej metodyki, DPIA stanowiło realną oceną ryzyka, umożliwiającą administratorom podejmowanie działań mających na celu ich rozwiązanie. ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 22

W jaki sposób przeprowadzać DPIA? Różne podejścia do przeprowadzenia DPIA 1. Kontekst 2. Środki kontroli 4. Decyzja 3. Ryzyko Proces zarządzania ryzykiem w bezpieczeństwie informacji (źródło: PN-ISO/IEC 27005) Proces zarządzania ryzykiem wg metodologii CNIL ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 23

Zalecany zakres DPIA GR Art. 29 proponuje następujące kryteria, które administratorzy danych mogą wykorzystać do oceny, czy DPIA lub metodologia przeprowadzania DPIA są wystarczająco obszerne, aby zapewnić zgodność z RODO: Zapewniony jest systematyczny opis planowanych operacji przetwarzania (artykuł 35 ust. 7): charakter, zakres, kontekst i cele przetwarzania są uwzględnione; dokumentowane dane osobowe, odbiorcy oraz okres przechowywania danych osobowych; dostarczony jest funkcjonalny opis operacji przetwarzania; zidentyfikowane są aktywa, na których opierają się dane osobowe (sprzęt, oprogramowanie, sieci, ludzie, dokumenty papierowe lub papierowe kanały transmisji); uwzględnia się zgodność z zatwierdzonymi kodeksami postępowania; ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 24

Zalecany zakres DPIA Ocena niezbędności i proporcjonalności (artykuł 35 ust. 7 lit. b): Określono środki mające na celu spełnienie wymogów rozporządzenia (art. 35 ust. 7 lit. d) i motyw 90), biorąc pod uwagę: Środki wpływające na niezbędność i proporcjonalność przetwarzania w oparciu o: konkretny, wyraźny i prawnie uzasadniony cel(e) (artykuł 5 ust. 1 lit. b); zgodność przetwarzania z prawem (artykuł 6); adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów (artykuł 5 ust. 1 lit. c); ograniczenie okresu przechowywania (artykuł 5 ust. 1 lit. e); Środki przyczyniające się do praw osób, których dane dotyczą: informacje udzielone osobie, której dane dotyczą (artykuł 12, 13 i 14); prawo dostępu i przekazywania danych (artykuł 15 i 20); prawo do sprostowania, usunięcia, ograniczenia przetwarzania, sprzeciwu (artykuł 16-19 i 21); odbiorcy; podmioty przetwarzające (artykuł 28); zabezpieczenia dotyczące przekazywania danych (Rozdział V); uprzednie konsultacje (artykuł 36); ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 25

Zalecany zakres DPIA Zarządzenie ryzykiem naruszenia praw lub wolności osób (artykuł 35 ust. 7): Uwzględnienie źródła, charakteru, specyfiki i powagi tego ryzyka (porównaj motyw 84); lub dokładniej, w odniesieniu do każdego ryzyka (nieuprawnionego dostępu, niepożądanej modyfikacji i zniknięcia danych) z punktu widzenia osób, których dane dotyczą: Uwzględniono źródło ryzyka (motyw 90); Potencjalne skutki dla praw lub wolności osób, których dane dotyczą, są identyfikowane w przypadku nieuprawnionego dostępu, niepożądanej modyfikacji i zniknięcia danych; Zagrożenia, które mogłyby prowadzić do nieuprawnionego dostępu, niepożądanej modyfikacji i zniknięcia danych; Oszacowano prawdopodobieństwo i powagę tego ryzyka (motyw 90); ustalono środki planowane w celu zaradzenia ryzyku (artykuł 35 ust. 7 lit. d i Motyw 90); zaangażowanie zainteresowanych stron: zasięgnięto konsultacji DPO (artykuł 35 ust. 2); zasięgnięto opinii osób, których dane dotyczą lub ich przedstawicieli (artykuł 35 ust. 9); ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 26

Kiedy, w jakich przypadkach DPIA należy konsultować z organem nadzorczym Konsultacja jest wymagana, gdy administrator danych nie może znaleźć wystarczających środków (tj. gdy ryzyko szczątkowe jest nadal wysokie). Ponadto administrator będzie musiał skontaktować się z organem nadzorczym w każdym przypadku, gdy prawo państwa członkowskiego wymaga, aby administratorzy konsultowali się z organem nadzorczym i/lub uzyskiwali jego uprzednią zgodę na przetwarzanie danych osobowych przez administratora do celów wykonania zadania realizowanego przez administratora w interesie publicznym, w tym przetwarzania w związku z ochroną socjalną i zdrowiem publicznym (artykuł 36 ust. 5) ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 27

Wytyczne GR Art. 29 dotyczące przeprowadzania DPIA Dziękuję za uwagę ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 28

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres