statystyki

RODO: Ocena skutków przetwarzania dla ochrony danych to wyzwanie dla firm

autor: Aneta Miśkowiec27.02.2018, 08:11; Aktualizacja: 27.02.2018, 09:15
Ocena skutków dla ochrony danych składa się z dwóch etapów.

Ocena skutków dla ochrony danych składa się z dwóch etapów.źródło: ShutterStock

Nową, dotychczas nieznaną w polskim systemie prawnym czynnością wymaganą przez RODO jest ocena skutków przetwarzania dla ochrony danych. W praktyce wiąże się ona z koniecznością przeprowadzenia wnikliwej analizy części procesów związanych z przetwarzaniem danych u przedsiębiorcy. Przeprowadzając taką ocenę, przedsiębiorca może oszacować poziom ryzyka nieuprawnionej modyfikacji czy zablokowania dostępu do danych w planowanym przedsięwzięciu. Taka analiza pozwala mu się zorientować, jakie środki obniżające ryzyko zastosować.

Zdążyć przed RODO

25 maja 2018 r. zaczną być stosowane nowe regulacje o ochronie danych osobowych – RODO. To skrócona nazwa rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale za niecałe trzy miesiące upłynie dwuletni okres, który unijny legislator dał przedsiębiorcom na dostosowanie się do wymagań. Kontynuujemy serię artykułów poradniczych, w których przybliżamy najważniejsze zmiany i nowe obowiązki wynikające z RODO.

Ogólne rozporządzenie o ochronie danych (dalej: RODO) nie zawiera gotowych recept, jak należy chronić dane osobowe. Unijny prawodawca stawia na indywidualne podejście do zagrożeń związanych z przetwarzaniem danych osobowych. Tak jest również w przypadku oceny skutków przetwarzania dla ochrony danych osobowych (art. 35 RODO). Przepisy rozporządzenia nie zawierają wskazówek, jak należy przeprowadzić ocenę. Każdy przedsiębiorca zobowiązany do tego powinien wypracować swój sposób jej wykonania. Można się jednak wesprzeć na metodykach udostępnionych w innych państwach, np. przez francuski, brytyjski, a nawet nowozelandzki organ nadzorczy. Także ciało doradcze Komisji Europejskiej – Grupa Robocza Art. 29 – przygotowała wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie może powodować wysokie ryzyko do celów rozporządzenia 2016/679 (nr 17/PL, WP 248 rev. 01), które mogą być wskazówką dla przedsiębiorców.

NOWY WYMÓG

Zgodnie z RODO w celu zapewnienia danym osobowym bezpieczeństwa administrator powinien oszacować ryzyko związane z przetwarzaniem przez niego tych danych oraz wdrożyć środki, które to ryzyko ograniczą.

Znalezienie odpowiedzi na pytanie, jakie środki ochrony danych osobowych zastosować, powinno być poprzedzone analizą ryzyka przetwarzania tych danych. Analiza ta została w przepisach RODO nazwana oceną skutków przetwarzania dla ochrony danych, jednak w praktyce często administratorzy posługują się jej angielskimi odpowiednikami – Data Protection Impact Assessment (DPIA) lub Privacy Impact Assessment (PIA). Przeprowadzenie takiej analizy ułatwia administratorowi ocenę, jak przetwarzanie przez niego danych osobowych w danych procesach wpłynie na prywatność osób fizycznych, i to jeszcze zanim się to w praktyce wydarzy. Przeprowadzając ocenę skutków dla ochrony danych, przedsiębiorca uzyskuje szacunek ryzyka w analizowanym przedsięwzięciu, co pozwala mu się zorientować, jakie środki obniżające ryzyko zastosować.

Ocena skutków dla ochrony danych jest działaniem, które należy przeprowadzić w jak najwcześniejszej fazie przedsięwzięcia, najlepiej przed przystąpieniem do faktycznego przetwarzania danych osobowych. Celem jest zabezpieczenie przedsiębiorcy przed naruszaniem prawa ochrony danych osobowych, ale przede wszystkim ograniczenie ryzyka naruszenia praw osób, których dane dotyczą. Analizę taką przeprowadza się zatem nie tyle z perspektywy interesów przedsiębiorcy, co z punktu widzenia ryzyka naruszenia interesów osób, których dane są przetwarzane. Celem oceny skutków dla ochrony danych jest więc zagwarantowanie, że tego typu ryzyka dotyczące przetwarzania danych zostaną zminimalizowane bądź wyeliminowane.

Ocena skutków dla ochrony danych składa się z dwóch etapów. Pierwszym jest wstępna analiza oceniająca, czy istnieje prawdopodobieństwo wystąpienia wysokiego ryzyka przy przetwarzaniu danych osobowych. Jeżeli na jej podstawie przedsiębiorca ustali, że przetwarzanie danych osobowych w jego przedsięwzięciu może się potencjalnie wiązać z wysokim ryzykiem, aktualizuje się dla niego drugi etap – obowiązek przeprowadzenia analizy docelowej, a więc dokonania merytorycznej oceny skutków przetwarzania dla ochrony danych.


Pozostało jeszcze 78% treści

Czytaj wszystkie artykuły
Miesiąc 97,90 zł
Zamów abonament

Mam kod promocyjny
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy INFOR Biznes. Kup licencję

Polecane

Reklama

Komentarze (1)

  • Anna(2018-06-10 09:18) Zgłoś naruszenie 00

    RODO -młyn na wodę cwaniaków, tylko cwaniaków na dużą skalę. Albo ustawodawca się nie przyłożył, albo nie wprowadzono części przepisów, przynajmniej w naszym kraju. Nie wszyscy traktują RODO jako ograniczenie ingerencji w cudze życie i dane, niektórzy, wręcz odwrotnie, traktują RODO, jako prawnie wprowadzoną możliwość wymuszania wyrażania zgody na przetwarzanie dany. Osobiście znam dwa takie przykłady, a pewnie jest ich więcej. Poczta internetowa-zapłać, albo oddaj (czyli sprzedaj?) swoje dane. Nie wystarczy zgoda na przyjmowanie informacji handlowych? Przecież, zakładając pocztę, podaje się informacje o zainteresowaniach, czyli, wiadomo, czym się interesuje osoba, która zakłada pocztę. A prywatnej korespondencji nie wypada czytać, to po co takiej firmie zgoda na przetwarzanie danych? Pracują w służbach bezpieczeństwa, czy sprzedają w celu osiągnięcia zysku? Pewnie jedno i drugie. Firma publikująca ogłoszenia o pracę, zamiast przekazywać je wprost do pracodawcy, żąda założenia konta i opatruje swoje ogłoszenia klauzulą o wyrażeniu zgody na przetwarzanie danych. Jak nie założysz konta i nie chcesz zgodzić się na przetwarzanie danych, to nie wyślesz oferty do pracodawcy. Myślę, że im dalej w las, tym więcej drzew, niedługo możemy mieć problemy w spożywczym. Nie kupimy chleba, bez wyrażenia zgody na przetwarzanie danych, bo te dane są też towarem i dużo więcej wartym od chleba.

    Odpowiedz

Twój komentarz

Zanim dodasz komentarz - zapoznaj się z zasadami komentowania artykułów.

Widzisz naruszenie regulaminu? Zgłoś je!

Redakcja poleca

Galerie

Polecane