Sprawdź, czy przeprowadzenie DPIA w ośrodku pomocy społecznej jest obowiązkowe
Sam fakt posiadania statusu ośrodka pomocy społecznej, jak również korzystania z monitoringu wizyjnego nie obliguje do przeprowadzenia DPIA.
Kiedy należy przeprowadzić DPIA
Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.
Art. 35 ust. 7 RODO wymaga, aby ocena zawierała:
-
systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
-
ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
-
ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
-
środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
O ile przed RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć) o tyle po RODO ważne będzie to aby nie dochodziło do naruszeń danych osobowych.
Status OPS nie przesądza o obowiązku przeprowadzenia DPIA
Biorąc pod uwagę powyższe informacje należy zauważyć, że z samego faktu bycia ośrodkiem pomocy społecznej nie wynika obowiązek przeprowadzenia oceny skutków dla ochrony danych osobowych. RODO nie różnicuje bowiem obowiązku przeprowadzenia tzw. DPIA w zależności od rodzaju administratora danych osobowych. Udzielenie konkretnej odpowiedzi, czy w konkretnym ośrodku pomocy społecznej musi być obowiązkowo przeprowadzone DPIA, wymaga jednak doskonałej znajomości procesów przetwarzania danych osobowych w tym ośrodku tak, aby ocenić spełnienie wszystkich przesłanek obligatoryjnego DPIA. Należy ustalić, czy i w jakim zakresie OPS używa nowych technologii (samo stosowanie zwykłego monitoringu wizyjnego trudno uznać za nową technologię).
- Czy instytucja kultury przeprowadza audyt KRI
- Wdrożenie aplikacji Outlook i Teams – czy konieczna DPIA (ocena skutków dla ochrony danych)
- Obsługa kadrowa – czy wymaga oceny skutków dla ochrony danych (DPIA)
- Zgłoszenie danych wrażliwych do Urzędu Ochrony Danych Osobowych – czy konieczne
- Dane osobowe w identyfikatorach i tabliczkach przed gabinetami lekarskimi
- Bezpłatna pomoc psychologiczna dla obywateli Ukrainy – czy można prowadzić rejestr osób korzystających
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
