Od dnia 25 maja 2018, roku czyli od początku obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO, Rozporządzenie) na każdym administratorze danych osobowych ciąży obowiązek przeprowadzania analizy ryzyka.

Pytanie:  Czy prawidłowe jest powiązanie koncepcji "Privacy by design" z oceną skutków przetwarzania danych osobowych (DPIA) w sytuacji wprowadzania nowego procesu biznesowego, w którym dane osobowe są przetwarzane (lub jego aktualizacji)?

W określonych okolicznościach obowiązkiem administratora danych osobowych staje się ocena skutków przetwarzania dla ochrony danych (DPIA). Proces ten powinien być zrealizowany przy wsparciu personelu administratora, ale przede wszystkim z udziałem inspektora ochrony danych, jeżeli takowy jest wyznaczony w organizacji. Sprawdź, jaką rolę pełni IOD w ocenie skutków dla ochrony danych.

W określonych przypadkach obowiązkiem administratora danych osobowych jest przeprowadzenie oceny skutków przetwarzania dla ochrony danych. Na obowiązek ten szczególną uwagę powinny zwrócić podmioty prowadzące sklepy internetowe – ze względu na potencjalnie dużą liczbę podmiotów, których dane osobowe są przetwarzane w związku z funkcjonowaniem sklepu. Sprawdź, kiedy i jak przeprowadzić ocenę skutków w sklepie internetowym.

W Monitorze Polskim opublikowano nowy wykaz operacji rodzajów przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. W zaktualizowanym wykazie po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.

Pytanie:  Czy ośrodek pomocy społecznej, w którym zainstalowany jest monitoring wizyjny, ma w obowiązek przeprowadzenia DPIA?

19 grudnia 2018 r. odbyło się szkolenie dla inspektorów ochrony danych poświęcone ocenie skutków dla ochrony danych. UODO udostępnił zapis szkolenia.

Zabezpieczenie systemów informatycznych przed działaniem szkodliwego oprogramowania jest jednym z kluczowych rozwiązań, które powinien wdrożyć administrator. Funkcje tę pełni między innymi zapora sieciowa (firewall). Pozwala ona również spełnić wymóg monitorowania ruchu sieciowego, ponieważ umożliwia przeanalizowanie działań pracownika w sieci m.in. w przypadku incydentu. Sprawdź, czy ta funkcja zapory sieciowej (monitorowanie ruchu sieciowego) wymaga przeprowadzenia oceny skutków dla ochrony danych.

Oceny skutków przetwarzania danych jest konieczna w przypadku, gdy administrator systematycznie monitoruje na dużą skalę miejsca dostępne publicznie. Jak rozumieć to sformułowanie? Szczegóły w artykule.

Pytanie:  Czy w agencji pracy tymczasowej należy przeprowadzać DPIA dla procesów rekrutacji?