Zainstalowany monitoring nie obliguje do przeprowadzenia DPIA

RODO przewiduje:

• ogólną ocenę ryzyka przetwarzania danych osobowych,
• ocenę skutków dla ochrony danych osobowych.

Ogólna ocena ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na ADO ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam ADO musi dokonywać okresowej ogólnej ocenie ryzyka zagrażające temu przetwarzaniu. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:

• kontekst dla oceny ryzyka,
• opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
• szacowanie i ocena ryzyka,
• postępowanie z ryzykiem.

Art. 35 ust. 7 RODO wymaga aby ocena zawierała:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

O ile przed wejściem w życie RODO kładziono nacisk na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć) o tyle od 25 maja 2018 r. ważne jest przede wszystkim to to aby nie dochodziło do naruszeń danych osobowych.

Mając na względzie powyższe, należy stwierdzić, że nie ma potrzeby sporządzania DPIA dla zwykłego monitoringu wizyjnego.

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie  ochrony osób fizycznych w związku z przetwarzaniem  danych osobowych i w sprawie swobodnego przepływu takich  danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1) – art. 5, art. 35.