Ocena skutków dla ochrony danych tj. Data Protection Impact Assessment (DPIA) to jedno z nowych rozwiązań dodanych przez RODO. Ocena skutków dla ochrony danych jest przydatnym narzędziem wykorzystywanym przez administratorów danych do wdrażania systemów przetwarzania danych, które są zgodne z rozporządzeniem RODO. W przypadku niektórych rodzajów operacji przetwarzania przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe. Dzięki przeprowadzeniu oceny skutków dla ochrony danych administrator zmniejsza ryzyko incydentów, poprzez zastosowanie odpowiednich środków bezpieczeństwa.
Co to jest ocena skutków dla ochrony danych?
Ocena skutków dla ochrony danych to proces mający na celu scharakteryzowanie przetwarzania danych, dokonanie oceny jego niezbędności i proporcjonalności oraz wsparcie administratora w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z tego przetwarzania. Ocena skutków dla ochrony danych ma na celu szczegółową analizę ryzyka na jakie narażone jest przetwarzanie danych osobowych oraz wprowadzeniu odpowiednich środków zaradczych ograniczających to ryzyko do poziomu akceptowalnego.
Sprawdź jak wdrożyć RODO w twojej organizacji
Jak przeprowadzić ocenę skutków dla ochrony danych?
Ocenę skutków dla ochrony danych należy przeprowadzić przed rozpoczęciem przetwarzania danych osobowych. Należy ja także przeprowadzić w przypadku istniejacego procesu, jeżeli jest zmieniany w poważnym zakresie – zwłaszcza jeżeli poszerzamy znacząco zakres danych wykorzystywanych bądź zamierzamy stosować nowe rozwiązania do ich przetwarzania które mogą znacząco zmienić charakter danej czynności – np automatyczna analiza starych danych.
Kto jest odpowiedzialny za przeprowadzenie oceny skutków dla przetwarzania danych osobowych? To na administratorze ciąży ten obowiązek. Wykonując ocenę skutków dla ochrony danych można się kierować następującymi siedmioma krokami:
- Opis planowanych operacji przetwarzania – polega na sprecyzowaniu w jakim celu, zakresie i czasie będą przetwarzane dane osobowe,
- Ocena konieczności i proporcjonalności – polega na określeniu zakresu przetwarzanych danych, zakresu osób, których dane przetwarzamy, a także zakresu odbiorców którym te dane udostępniamy oraz ich niezbędności z punktu widzenia celów i podstaw prawnych przetwarzania,
- Środki planowane w celu wykazania zgodności – to wskazane zabezpieczenia organizacyjne i techniczne, a także rekomendacje dotyczące usunięcia wykrytych niezgodności,
- Ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą – polega na wskazaniu: jakie naruszenie może wystąpić, z czego wynika możliwość wystąpienia zagrożenia, jakie są możliwe skutki, jaka jest waga zagrożenia, jakie jest prawdopodobieństwo naruszenia, jaki jest poziom ryzyka (jest to wynik mnożenia wagi i prawdopodobieństwa), jakie są rekomendacje (jak zminimalizować ryzyko),
- Środki planowane w celu wyeliminowania ryzyka – określa się je na podstawie rekomendacji wydanych w poprzednim kroku,
- Dokumentacja oceny skutków dla ochrony danych – obejmuje zapis czynności podejmowanych w ramach oceny skutków dla ochrony danych, jak również dowody audytowe,
- Monitorowanie i przegląd oceny skutków dla ochrony danych należy dokonywać zawsze, gdy występuje możliwość zmiany ryzyka naruszenia praw lub wolności osób fizycznych. W ramach dobrych praktyk, oceny skutków dla ochrony danych należy dokonywać raz w roku.
W celu dokonania identyfikacji oraz analizy procesów, w ramach których dane są przetwarzane, a następnie oszacowania ryzyk związanych z naruszeniem ochrony tych danych warto skorzystać z pomocy specjalistów. RK RODO pomaga dokonać przedsiębiorcom oceny skutków dla ochrony danych. Dlatego jeżeli potrzebujesz wsparcia w przeprowadzeniu DPIA, skontaktuj się z nami.
Kiedy należy przeprowadzić ocenę skutków dla ochrony danych?
Ocena skutków dla ochrony danych jest wymagana w każdym przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena skutków jest niezbędna przynajmniej w poniższych sytuacjach:
- dokonywanie systematycznej, kompleksowej oceny czynników osobowych osób fizycznych, między innymi na podstawie profilowania,
- przetwarzanie danych wrażliwych na dużą skalę,
- systematyczne monitorowanie na dużą skalę miejsc publicznie dostępnych.
Musimy jednak pamiętać, że ocena skutków może być prowadzona w szerszym zakresie sytuacji. Nie jest także wyłącznie formalnym wymogiem prawa. Ocena skutków pozwala samemu przedsiębiorcy zrozumieć co będzie się dziać z danymi i jakie może mieć to skutki. W świecie nowych technologii ich wykorzystanie może mieć nieprzewidziane konsekwencje dla danych – zwłaszcza jeżeli skutki stosowania jakiegoś rozwiązania nie są jeszcze znane. Warto w takim wypadku dokonać uprzedniej analizy tych skutków, aby można było się do nich odpowiednio dostosować.