Poznaliśmy opinię Europejskiej Rady Ochrony Danych dotyczącą wykazów rodzajów operacji przetwarzania wymagających oceny skutków dla ochrony danych. Z opinii wynika konieczność poprawienia polskiego wykazu.

Pytanie:  Czy podmiot przetwarzający ma obowiązek wykonać analizę ryzyka naruszenia praw i wolności podmiotów danych, dla procesu w którym przetwarza dane, które otrzymał od administratora danych osobowych?

Znamy już wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. W specjalnym komunikacie Prezes UODO wskazał 9 kategorii operacji, w związku z którym konieczne jest dokonanie takiej oceny. Jest to niezwykle istotna informacja dla każdego administratora.

Pytanie:  W procesie przeprowadzania analizy ryzyka na pierwszym etapie jeszcze przed "zbiciem" poziomu ryzyka poprzez zastosowanie adekwatnych zabezpieczeń, okazało się, że poziom ryzyka naruszenia praw lub wolności osób fizycznych jest wysoki dla danego procesu. Czy w związku z tym automatycznie należy przeprowadzić DPIA?

Pytanie:  Jak udokumentować przeprowadzenie audytu wewnętrznego systemu ochrony danych osobowych w firmie?

Pytanie:  Czy system monitoringu wymaga przeprowadzenia oceny skutków przetwarzania ? System nie umożliwia automatycznego rozpoznawania i służy wyłącznie do analizy zdarzeń dotyczących bezpieczeństwa mienia i osób.

Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Jednym z nowych obowiązków administratora danych zgodnie z RODO będzie przeprowadzenie oceny skutków dla ochrony danych. Dowiedz się, czy przeprowadzenie takiej oceny będzie trzeba udokumentować.

Przeprowadzanie oceny skutków dla ochrony danych jest nowym obowiązkiem, który ciąży na administratorze danych. Administrator będzie zobligowany do przeprowadzenia oceny w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Sprawdź, jak zrealizować ten obowiązek zgodnie z wytycznymi Grupy Roboczej Ar. 29.