Privacy by design a DPIA
Koncepcja „Privacy by design” jest niezależna od przeprowadzenia DPIA. Ocenę skutków przeprowadzamy, jeżeli w związku z projektowaniem danego sposobu przetwarzania danych okaże się, że istnieje wysokie ryzyko naruszenia praw i wolności osób fizycznych
Czym jest DPIA
Ocena skutków dla ochrony danych osobowych (DPIA) jest jednym z dwóch rodzajów oceny ryzyka (obok oceny ogólnej). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.
Art. 35 ust. 7 RODO wymaga aby ocena zawierała:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
O ile przed RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle obecnie ważne jest to, aby nie dochodziło do naruszeń danych osobowych.
Ochrona na każdym etapie tworzenia technologii przetwarzania
Privacy by design wraz z privacy by default wymuszają na administratorze danych obowiązek uwzględnienia ochrony danych i prywatności na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie. Jest to obowiązek niezależny od przeprowadzenia DPIA.
Jeżeli więc administrator projektuje taki sposób przetwarzania danych, który może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych to musi on przeprowadzić DPIA.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE.L. z 2016 r. Nr 119, poz. 1) – art. 25, art. 35.
- Wdrożenie aplikacji Outlook i Teams – czy konieczna DPIA (ocena skutków dla ochrony danych)
- Obsługa kadrowa – czy wymaga oceny skutków dla ochrony danych (DPIA)
- Zgłoszenie danych wrażliwych do Urzędu Ochrony Danych Osobowych – czy konieczne
- DPIA to także obowiązek podmiotu przetwarzającego
- Obowiązek przeprowadzenia DPIA niezależnie od wyników ogólnej oceny ryzyka
- Sprawdź, czy przeprowadzenie DPIA w ośrodku pomocy społecznej jest obowiązkowe
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
