Pytanie:  Czy przed rozpoczęciem obsługi kadrowej pracowników wymagana jest ocena skutków dla ochrony danych (DPIA)?

Ocena skutków dla ochrony danych (DPIA) nie jest kontynuacją ogólnej oceny ryzyka. Są to dwa różne rodzaje czy procesy analizy ryzyka. Sprawdź, jaka jest wzajemna relacja pomiędzy ogólną analizą ryzyka a DPIA.

Zarówno ogólna analiza ryzyka jak i ocena skutków przetwarzania dla ochrony danych (DPIA) są pewnego rodzaju oceną występowania ryzyka w zakresie przetwarzania danych osobowych. Procesy te nie są jednak tożsame, choć mają pewne cechy wspólne. W tabeli przedstawiamy podobieństwa i różnice w zakresie tych ocen.

Pytanie:  Czy wprowadzenie monitoringu miejskiego powinno być poprzedzone DPIA?

Pytanie:  Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Pytanie:  Pracodawca zamontował monitoring GPS w samochodach służbowych, którymi jeżdżą pracownicy i współpracownicy firmy. Monitoring służy wyłącznie do weryfikacji stanu pojazdu tj. stanu akumulatora, spalania, przejechanych kilometrów, ale także do celów lokalizacji samochodu w razie kradzieży. Czy w związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych?

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Celem przyjęcia na poziomie Unii Europejskiej rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, było przede wszystkim wzmocnienie ochrony praw i wolności osób, których dane są przetwarzane. Cel ten jest realizowany m.in. poprzez wprowadzenie podejścia opartego na ryzyku (ang. risk-based approach) – koncepcji stanowiącej zasadniczy filar przepisów RODO.

Od dnia 25 maja 2018, roku czyli od początku obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO, Rozporządzenie) na każdym administratorze danych osobowych ciąży obowiązek przeprowadzania analizy ryzyka.