Pytanie:  Czy przed rozpoczęciem obsługi kadrowej pracowników wymagana jest ocena skutków dla ochrony danych (DPIA)?

Ocena skutków dla ochrony danych (DPIA) nie jest kontynuacją ogólnej oceny ryzyka. Są to dwa różne rodzaje czy procesy analizy ryzyka. Sprawdź, jaka jest wzajemna relacja pomiędzy ogólną analizą ryzyka a DPIA.

Zarówno ogólna analiza ryzyka jak i ocena skutków przetwarzania dla ochrony danych (DPIA) są pewnego rodzaju oceną występowania ryzyka w zakresie przetwarzania danych osobowych. Procesy te nie są jednak tożsame, choć mają pewne cechy wspólne. W tabeli przedstawiamy podobieństwa i różnice w zakresie tych ocen.

Pytanie:  Czy wprowadzenie monitoringu miejskiego powinno być poprzedzone DPIA?

Pytanie:  Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Pytanie:  Pracodawca zamontował monitoring GPS w samochodach służbowych, którymi jeżdżą pracownicy i współpracownicy firmy. Monitoring służy wyłącznie do weryfikacji stanu pojazdu tj. stanu akumulatora, spalania, przejechanych kilometrów, ale także do celów lokalizacji samochodu w razie kradzieży. Czy w związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych?

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Pytanie:  W firmie doszło o utraty komputera z danymi osobowymi. Komputer został odzyskany, a dane osobowe na nim nie uległy wyciekowi. Urząd Ochrony Danych Osobowych zażądał od administratora podania wyników oceny ryzyka dla praw i wolności podmiotów danych w sytuacji czasowej utraty dostępności danych. Jak powinien zareagować administrator?

Analiza ryzyka często mylona jest z oceną skutków dla ochrony danych (DPIA). Tymczasem to pierwsze to podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach.  Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą, a także ryzyka naruszenia interesów administratora.