Analiza ryzyka i DPIA w placówce oświatowej
Placówka oświatowa niewątpliwie jest administratorem danych osobowych i ciążą na niej obowiązki w zakresie RODO. Czy dotyczy to również analizy ryzyka i DPIA?
RODO przewiduje:
· ogólną analizę ryzyka przetwarzania danych osobowych oraz
· ocenę skutków dla ochrony danych osobowych.
Administrator danych osobowych taki jak placówka oświatowa powinien rozważyć, czy konieczne jest przeprowadzenie każdej z tych ocen.
Analiza ryzyka w każdym podmiocie publicznym
Analiza ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg oceny tego, czy przetwarzanie danych osobowych w danej organizacji generuje rodzaje ryzyka i jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to ten sam administrator musi dokonywać okresowej ogólnej oceny rodzajów ryzyka zagrażających temu przetwarzaniu.
Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów, to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Jeszcze raz należy podkreślić, że ten obowiązek dotyczy wszystkich administratorów, bez względu na ich wielkość czy zakres działalności. A więc dotyczy także placówek oświatowych.
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, aby tylko pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – praktyczne zasady zabezpieczania informacji.
DPIA? Raczej nie w placówce oświatowej
Poza ogólną analizą ryzyka przepisy przewidują obowiązek oceny skutków dla ochrony danych osobowych (DPIA). Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Artykuł 35 ust. 9 pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.
Artykuł 35 ust. 7 RODO wymaga, aby ocena zawierała:
· systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
· ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
· ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
· środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Oczywiście każdy przypadek należy rozpatrywać indywidualnie, niemniej jednak nie ma podstaw, aby sądzić, że placówki oświatowe wymienione w pytaniu w zakresie RODO generują wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Dlatego w zdecydowanej większości przypadków DPIA w placówce oświatowej nie będzie konieczne.
Jeśli chcesz przeczytać więcej ciekawych artykułów, załóż konto testowe i ciesz się bezpłatnym dostępem do wszystkich treści przez 24h!
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 24, art. 35.
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- Jak przeprowadzić analizę ryzyka dla danych osobowych w związku z wdrożeniem sztucznej inteligencji
- Ochrona danych osobowych uczestników rynku kryptoaktywów wymaga doprecyzowania
- Nowelizacja ustawy o cudzoziemcach sprzeczna z zasadą minimalizacji RODO – uwagi Prezesa Urzędu Ochrony Danych Osobowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
