Ocena skutków dla ochrony danych (DPIA) nie jest kontynuacją ogólnej oceny ryzyka. Są to dwa różne rodzaje czy procesy analizy ryzyka. Sprawdź, jaka jest wzajemna relacja pomiędzy ogólną analizą ryzyka a DPIA.

Zarówno ogólna analiza ryzyka jak i ocena skutków przetwarzania dla ochrony danych (DPIA) są pewnego rodzaju oceną występowania ryzyka w zakresie przetwarzania danych osobowych. Procesy te nie są jednak tożsame, choć mają pewne cechy wspólne. W tabeli przedstawiamy podobieństwa i różnice w zakresie tych ocen.

Pytanie:  Czy wprowadzenie monitoringu miejskiego powinno być poprzedzone DPIA?

Pytanie:  Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Pytanie:  Pracodawca zamontował monitoring GPS w samochodach służbowych, którymi jeżdżą pracownicy i współpracownicy firmy. Monitoring służy wyłącznie do weryfikacji stanu pojazdu tj. stanu akumulatora, spalania, przejechanych kilometrów, ale także do celów lokalizacji samochodu w razie kradzieży. Czy w związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych?

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Celem przyjęcia na poziomie Unii Europejskiej rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, było przede wszystkim wzmocnienie ochrony praw i wolności osób, których dane są przetwarzane. Cel ten jest realizowany m.in. poprzez wprowadzenie podejścia opartego na ryzyku (ang. risk-based approach) – koncepcji stanowiącej zasadniczy filar przepisów RODO.

Od dnia 25 maja 2018, roku czyli od początku obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO, Rozporządzenie) na każdym administratorze danych osobowych ciąży obowiązek przeprowadzania analizy ryzyka.

Pytanie:  Czy prawidłowe jest powiązanie koncepcji "Privacy by design" z oceną skutków przetwarzania danych osobowych (DPIA) w sytuacji wprowadzania nowego procesu biznesowego, w którym dane osobowe są przetwarzane (lub jego aktualizacji)?