DPIA to także obowiązek podmiotu przetwarzającego

Marcin Sarna

Autor: Marcin Sarna

Dodano: 6 września 2018
Zakres obowiązków zleceniobiorcy taki jak pracownika - ryzykowne
Pytanie:  Czy podmiot przetwarzający ma obowiązek wykonać analizę ryzyka naruszenia praw i wolności podmiotów danych, dla procesu w którym przetwarza dane, które otrzymał od administratora danych osobowych?
Odpowiedź: 

Tak. „Pochodzenie” danych osobowych nie ma znaczenia, a obowiązki z obu rodzajów analizy ryzyka ciążą nie tylko na administratorze, ale także na podmiocie przetwarzającym.

Obowiązek informacyjny tylko względem osoby fizycznej

RODO przewiduje:

  • ogólną ocenę ryzyka przetwarzania danych osobowych; oraz
  • ocenę skutków dla ochrony danych osobowych.

Pierwsza ocena ma charakter obligatoryjny. Każdy ADO musi ocenić, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na ADO i na podmiocie przetwarzającym ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam ADO lub podmiot przetwarzający musi dokonywać okresowej ogólne oceny ryzyk zagrażających temu przetwarzania. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów, to warto taką ocenę wykonać pisemnie lub w formie elektronicznej i okresowo aktualizować.

Uwaga

Ten sam obowiązek ogólnej oceny ryzyka przetwarzania danych dotyczy wszystkich ADO i podmiotów przetwarzających, bez względu na ich wielkość czy zakres działalności.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:

  • kontekst dla oceny ryzyka,
  • opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
  • szacowanie i ocena ryzyka,
  • postępowanie z ryzkiem.

DPIA to także obowiązek podmiotu przetwarzającego

Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 RODO pozwala, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania. Przepis art. 35 RODO w ust. 1 stanowi wprawdzie wyłącznie o administratorze ale bez wątpienia cały ten przepis odnosi się także do podmiotu przetwarzającego. Po pierwsze o procesorze wspomina się chociażby w art. 35 ust. 8 RODO. Po drugie, trudno wskazać przykład podmiotu przetwarzającego, który nie byłby jednocześnie administratorem jakichś danych osobowych – a art. 35 ust. 1 nie ogranicza konieczności wykonania DPIA wyłącznie do tych danych osobowych dla których danych podmiot jest ADO a nie procesorem. Obowiązek wykonania DPIA dotyczy wszystkich danych osobowych przetwarzanych przez dany podmiot.

Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x