Grupa Robocza art. 29 DS. Ochrony Danych przyjęła w dniu 4 kwietnia 2017 r. Wytyczne dotyczące oceny skutków dla ochrony danych (dpia) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów Rozporządzenia 2016/679.
Dokument niezwykle wyczekiwany przez wszystkich administratorów danych, z uwagi na zupełnie nowy obowiązek opracowywania DPiA (ang. Data Protection Impact Assessment), a więc dokonania oceny skutków dla ochrony danych osobowych. Warto przytoczyć tutaj treść art. 35 RODO, z którego wynika powyższy obowiązek.
Artykuł 35 RODO:
„Ocena skutków dla ochrony danych
- Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
- Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.
- Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku:
- a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
- c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie (..)”
Grupa Robocza Art. 29 zdecydowanie zaleca dokonanie oceny skutków już teraz, a więc dla operacji przetwarzania trwających przed 25 maja 2018 r. Niemniej, zdaniem organu ochrony danych, przeprowadzenie oceny skutków dla ochrony danych jest niezbędne dopiero dla operacji prowadzonych po 25 maja 2018 r. lub operacji, które zostały znacząco zmienione. Ocena skutków miałaby m.in. miejsce, gdy w operacji przetwarzania dochodzi do istotnej zmiany np. została wprowadzona do użytku nowa technologia, dane osobowe są wykorzystywane w innym celu lub też administrator danych zdecydował o rozpoczęciu transferu tych danych do państwa trzeciego. W tego typu przypadkach przetwarzanie staje się w rezultacie nową operacją przetwarzania danych i może wymagać DPIA.
Czekamy także na wypełnienie przez polski organ nadzorczy obowiązku przewidzianego w art. 35 ust. 4 RODO, z którego wynika:
„Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68.”
Zachęcamy Państwa zatem do zapoznania się z ww. Wytycznymi dotyczącymi oceny skutków dla ochrony danych (DPIA)
Pliki do pobrania:
Polska wersja językowa – kliknij tutaj