GIODO: W tych przypadkach trzeba przeprowadzić ocenę skutków dla ochrony danych

Dodano: 29 marca 2018
GIODO: W tych przypadkach trzeba przeprowadzić ocenę skutków dla ochrony danych

Generalny Inspektor Ochrony Danych Osobowych wskazał, w jakich sytuacjach administratorzy będą musieli przeprowadzić ocenę skutków przetwarzania dla ochrony danych osobowych.

Zgodnie z art. 35 ust. 4 ogólnego rozporządzenia o ochronie danych (RODO) administratorzy i podmioty przetwarzające będą musieli przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych. Wymóg ten dotyczy istniejących operacji przetwarzania, które ze względu na użycie nowych technologii, zakres i kategorie przetwarzania mogą powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych oraz w przypadku których nastąpiła zmiana rodzaju ryzyka, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania.

RODO wskazuje też, że organ nadzorczy (w Polsce jeszcze Generalny Inspektor Ochrony Danych Osobowych – GIODO, a od 25 maja 2018 r. Prezes Urzędu Ochrony Danych Osobowych) może przygotować wykaz rodzajów przetwarzania, wobec których należy przeprowadzić ocenę skutków dla ochrony danych. Opracowując ten dokument, GIODO uwzględnił wytyczne Grupy Roboczej Art. 29 dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679 (WP 248 rev.01) oraz swoje dotychczasowe doświadczenia. Jako przykłady operacji, które będą wymagały przeprowadzenia oceny skutków dla ochrony danych, GIODO wymienia:

  • profilowanie użytkowników portali społecznościowych,
  • ocena zdolności kredytowej,
  • system monitoringu wykorzystywany do zarządzania ruchem lub przeciwdziałania zagrożeniom,
  • systemy monitorowania czasu pracy oraz przepływu informacji w narzędziach wykorzystywanych przez pracowników,
  • przetwarzanie szczególnych kategorii danych, np. danych biometrycznych,
  • przetwarzanie dokumentacji medycznej,
  • przetwarzanie danych pracownika niewskazanych w Kodeksie pracy na podstawie jego zgody.

GIODO zachęca do zgłaszania swoich opinii i uwag do wykazu przez ekspertów z różnych sektorów i środowisk: prawników, informatyków, ekspertów do spraw bezpieczeństwa, socjologów, etyków itd. Należy je przesłać najpóźniej do 30 kwietnia 2018 r. na adres: [email protected]

GIODO rozważa również przygotowanie wykazu rodzajów operacji przetwarzania, które nie podlegają wymogowi oceny skutków dla ochrony danych. Zaproponowanie listy takich operacji planowane jest nie później niż 25 maja 2018 r.

Poniżej znajdziesz wykaz operacji, wobec których trzeba przeprowadzić ocenę skutków dla ochrony danych, przygotowany przez GIODO.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel