Kategorie
Szukaj
Sklep
Kalkulatory
Wskaźniki
Terminarz
Serwisy
Strona główna » Kadry » Indywidualne prawo pracy » Ochrona danych osobowych » RODO 2018: ocena skutków przetwarzania

RODO 2018: ocena skutków przetwarzania

17 maja 2018, 08:49
Dołącz do grona ekspertów
Sylwia Czub-Kiełczewska
Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
RODO 2018: ocena skutków przetwarzania/fot. shutterstock
RODO 2018: ocena skutków przetwarzania/fot. shutterstock
RODO nie dopuszcza możliwości zaakceptowania wysokiego ryzyka dla procesów przetwarzania danych. W takim przypadku administrator powinien przed przetwarzaniem dokonać oceny skutków dla ochrony danych, aby ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka.

Ocena skutków przetwarzania według RODO

Ogólne rozporządzenie o ochronie danych osobowych to ewolucja dotychczasowego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych, które powinno być oparte na ocenie ryzyka. Generalny Inspektor Ochrony Danych w grudniu 2017 roku opublikował dwuczęściowy poradnik: Jak rozumieć podejście oparte na ryzyku wg RODO? Warto do niego sięgnąć, aby zyskać ogólne pojęcie o zasadach szacowania ryzyka. Wadą poradnika jest jego uniwersalność i profesjonalizm, które mają zapewnić, że będzie miał zastosowanie zarówno do małych, jak i dużych organizacji. Dla osoby nie mającej pojęcia o szacowaniu ryzyka (albo w ogóle o ryzyku), może to być zbyt trudne źródło informacji (chociaż rzetelnie opracowane). Chciałabym podkreślić, że RODO nie narzuca żadnych konkretnych metod szacowania ryzyka – to administrator decyduje, jak dokona oceny tego ryzyka. Nie muszą to być wyrafinowane, czy skomplikowane metody. Podmioty publiczne mogą skorzystać z mechanizmów kontroli zarządczej – są im znane i od lat stosowane. Osoby rozpoczynające swoją przygodę z szacowaniem ryzyka, mogą robić tabele (macierze), ale mogą też po prostu wypisywać zidentyfikowane dla danego procesu ryzyka oraz ich skutki, a następnie opisywać co mogłoby je zminimalizować. Jest to metoda tak dobra, jak każda inna, dopóki działa i jest regularnie stosowana (to czy działa bardzo łatwo jest rozpoznać – zła metoda sprawia, że nie jesteśmy w stanie przeprowadzić analizy, utykamy w połowie).Szacowanie ryzyka jest jednym z ważniejszych elementów nowego podejścia do przetwarzania danych. Administrator powinien oceniać ryzyko, dokonywać jego oceny (może ja na przykład zaakceptować, przenieść na inny podmiot lub minimalizować).

Polecamy: Multipakiet RODO 2018 dla kadrowych i HR

RODO nie dopuszcza możliwości zaakceptowania wysokiego ryzyka dla procesów przetwarzania danych. W takim przypadku administrator powinien przed przetwarzaniem dokonać oceny skutków dla ochrony danych, aby ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia (motyw 90 RODO).

Ocena skutków powinna zawierać (art. 35 ust. 7 RODO):

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Innymi słowami ocena ryzyka to opis działania na danych osobowych, które generuje wysokie ryzyko wraz z informacjami, czy działanie jest rzeczywiście niezbędne (czyli uzasadnienie, dlaczego pomimo wysokiego ryzyka administrator chce to robić), jakie mogą być negatywne skutki jego działania dla osób, których dane przetwarza i jakie działania zamierza podjąć, aby zminimalizować ryzyko. Ocena ryzyka pozwala administratorowi rozważyć za i przeciw, zmierzyć się z możliwymi konsekwencjami oraz zaplanować właściwe działania zaradcze. Jeżeli w ramach oceny skutków, administrator znajdzie rozwiązania, które w jego ocenie skutecznie zminimalizują ryzyko, to działanie uznaje się dopuszczalne w myśl RODO.

Może jednak okazać się, że przyjęte rozwiązania nie minimalizują skutecznie ryzyka lub administrator po prostu obawia się ewentualnych negatywnych skutków swojego działania. Wówczas powinien skonsultować się z organem nadzoru (Prezes Urzędu Ochrony Danych). Dopiero po uprzednich konsultacjach będzie mógł dokonywać przetwarzania. Innym rozwiązaniem jest zastosowanie przez administratora zatwierdzonego kodeksu postępowania (gdy już taki będzie) lub skonsultowanie się (o ile to możliwe) z osobami, których będzie dotyczył proces przetwarzania (ale to w wielu przypadkach będzie niemożliwe).

Ocena skutków powinna być działaniem ciągłym, regularnie powtarzanym, tak samo jak analiza ryzyk i zagrożeń. Są to bardzo dobre mechanizmy służące do audytu przyjętych rozwiązań. Pierwsze analizy, czy oceny mogą wydawać się bardzo subiektywne, a nawet bezsensowne, jednakże to poczucie będzie zmieniać się z każdą kolejną analizą. Sama analiza, jeżeli jest robiona skrupulatnie może trwać nawet miesiącami. Warto pierwsze analizy, czy oceny skutków robić dla kilku pojedynczych procesów. Wówczas będzie nie tylko łatwiej, ale także skuteczniej, bo osoba dokonująca analizy będzie mogła dokładnie przemyśleć swoje decyzje. Administrator oczywiście musi dokumentować, że przeprowadził określone czynności. Musi być w stanie wykazać, że dopełnił obowiązków wynikających z przepisów prawa.

GIODO opublikował pierwszy wykaz (konsultowany obecnie społecznie) czynności przetwarzania, które w jego ocenie zawsze powinny podlegać ocenie skutków: https://giodo.gov.pl/pl/1520281/10430

Polecamy serwis: Ochrona danych osobowych

Poszerzaj swoją wiedzę, czytając naszą publikację
Karta Nauczyciela. Komentarz (PDF)
Karta Nauczyciela. Komentarz (PDF)
Tylko teraz
98,00 zł
Przejdź do sklepu
Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Pokaż:

NajnowszePopularneNajstarsze
Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry
    1 sty 2000
    20 wrz 2021
    Zakres dat:
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail

    Jak można podzielić urlop ojcowski?

    20 wrz 2021
    Urlop ojcowski przysługuje w wymiarze 2 tygodni. Jak można go podzielić? Do kiedy należy go wykorzystać?

    Skrócenie izolacji i dopuszczenie pracownika do pracy

    20 wrz 2021
    Skrócenie izolacji i dopuszczenie pracownika do pracy - czy jest możliwe? Co na to prawo? Jakie świadczenia przysługują za czas izolacji?

    Składki KRUS - IV kwartał 2021 r.

    20 wrz 2021
    Składki KRUS w IV kwartale 2021 r. - ile wynosi miesięczna składka na ubezpieczenie wypadkowe, chorobowe i macierzyńskie?

    Dyscyplinarka za brak szkolenia BHP

    20 wrz 2021
    Czy brak szkolenia BHP może być podstawą dyscyplinarki? Czy można uznać to za ciężkie naruszenie podstawowych obowiązków pracownika?

    Dzień Pracownika Służby BHP

    20 wrz 2021
    Dzień Pracownika Służby BHP przypada na 19 września każdego roku. Z tej okazji Minister Rodziny i Polityki Społecznej przygotowała list z podziękowaniami i życzeniami dla pracowników służb BHP.

    Dobre i złe nawyki pracy zdalnej [BADANIE]

    20 wrz 2021
    Praca zdalna pomaga łączyć pracę z życiem prywatnym. Jakie są dobre i złe nawyki zdalnych pracowników? Oto wyniki badania przeprowadzonego w Wielkiej Brytanii, Francji i Niemczech.

    Płaca minimalna a gospodarka - podcast premiera

    20 wrz 2021
    Jaki wpływ na gospodarkę ma płaca minimalna? Czym skutkuje brak godziwego wynagrodzenia? Premier wystartował z autorskim podcastem.

    Składka zdrowotna 9% średniej płacy krajowej

    20 wrz 2021
    Składka zdrowotna liczona od średniej płacy krajowej to propozycja Rzecznika MŚP. Czy 9% przeciętnej płacy w gospodarce przy podatku liniowym to dobre rozwiązanie? Ile wyniosłaby w 2022 r.?

    Wzrost minimalnego wynagrodzenia - czy trzeba zmieniać umowę o pracę?

    17 wrz 2021
    Wzrost minimalnego wynagrodzenia - czy trzeba zmieniać umowę o pracę? Co roku rośnie kwota minimalnego wynagrodzenia za pracę (tzw. najniższej krajowej, płacy minimalnej) i minimalnej stawki godzinowej. Już dziś wiadomo, że minimalne wynagrodzenie wzrośnie w 2022 r. do 3010 zł brutto (w 2021 roku wynosi 2800 zł). Pracownicy i pracodawcy mają wątpliwości, czy z uwagi na wzrost płacy minimalnej od nowego roku trzeba zmienić postanowienia wszystkich umów o pracę, które obecnie opiewają na kwotę niższą niż 3010 zł? Czy można nie zmieniać umów a np. uzupełniać wynagrodzenie za pracę, premią do wysokości minimalnego wynagrodzenia za pracę? Co może zrobić pracownik, jeżeli pracodawca nie wypłaca mu minimalnego wynagrodzenia? Wyjaśnień w tym zakresie udzieliła Państwowa Inspekcja Pracy.

    Jak zapewnić bezpieczeństwo pracownikom zdalnym?

    17 wrz 2021
    Bezpieczeństwo pracowników zdalnych może stanowić duże wyzwanie. To w domu zdarza się najwięcej wypadków. Za co odpowiada pracodawca? Jakie są przepisy BHP?

    Potwierdzenie danych w ZUS - instrukcja

    17 wrz 2021
    Potwierdzenie danych w ZUS można otrzymać przez PUE ZUS. Jak samodzielnie utworzyć dokument? Oto instrukcja jak zrobić to krok po kroku.

    Potwierdzenie z PUE ZUS pobierze także świadczeniobiorca

    17 wrz 2021
    Elektroniczne Potwierdzenie z PUE ZUS pobierze teraz także świadczeniobiorca, np. potwierdzenie prawa do emerytury, renty, zasiłku.

    Od wypłat z PPK zazwyczaj nie pobiera się podatku Belki

    17 wrz 2021
    Wypłaty z PPK - uczestnik PPK może w każdym czasie skorzystać ze swoich środków. W niektórych przypadkach wiąże się to jednak z obowiązkiem zapłaty 19% zryczałtowanego podatku dochodowego (tzw. podatku Belki).

    Potrzeby pracowników - wnioski z pandemii

    17 wrz 2021
    Potrzeby pracowników różnią się w zależności od rodzaju pracowników: fizycznych i biurowych. Jakie wnioski można wyciągnąć z pandemii COVID-19?

    Nadgodziny średniotygodniowe Polaków - pandemia

    17 wrz 2021
    Nadgodziny średniotygodniowe Polaków w czasie pandemii wzrosły. Statystyczny pracownik ma w tygodniu 5,5 godziny nadgodzin.

    Narzędzia do identyfikacji talentów - 3 zalety

    16 wrz 2021
    Narzędzia do identyfikacji talentów pozwalają zwiększyć potencjał firmy. Jakie są 3 główne zalety tego typu narzędzi?

    Odprawa z tytułu zwolnienia z pracy w pandemii - wątpliwości

    16 wrz 2021
    Odprawa z tytułu zwolnienia z pracy w czasie pandemii została uregulowana przepisami ustawy covidowej. Czy nowy limit wysokości odpraw odnosi się do wszystkich świadczeń? Jakie wątpliwości budzą nowe przepisy?

    Nowe święto państwowe w Polsce od 2021 r.

    16 wrz 2021
    Nowe święto państwowe w Polsce od 2021 r. ustanawia Prezydent RP. Święto będzie w grudniu. Czy oznacza to kolejny dzień wolny od pracy?

    Niebieska Karta UE - będą zmiany

    16 wrz 2021
    Niebieska Karta UE dotyczy zatrudniania cudzoziemców spoza UE. Odbywa się na innych zasadach niż obywateli państw członkowskich UE. Europarlament przyjął przepisy ułatwiające zatrudnianie obcokrajowców.

    Jak najniższa krajowa rosła od 2015 do 2022 r.?

    16 wrz 2021
    Najniższa krajowa w 2015 r. wynosiła 1750 zł brutto. W 2022 r. będzie to 3010 zł brutto. Najniższa krajowa wzrosła o 1260 zł.

    Dzień próbny w pracy - płatny czy nie?

    16 wrz 2021
    Dzień próbny w pracy a wynagrodzenie - czy jest płatny? Co na to prawo? W celu sprawdzenia pracownika należałoby podpisać umowę na okres próbny.

    PIT-2 a ukończenie 26 roku życia - kiedy złożyć?

    16 wrz 2021
    PIT-2 a ukończenie 26 roku życia - kiedy należy złożyć oświadczenie? Co z podwyższonymi kosztami przychodu?

    ZUS ERO - emerytura z datą wsteczną

    16 wrz 2021
    ZUS ERO to wniosek o emeryturę z datą wsteczną. Podstawą przyznania lub przeliczenia emerytury z datą wcześniejszą są przepisy covidowe. Dla kogo jest ten wniosek?

    Odprawa emerytalna - wysokość, warunki

    15 wrz 2021
    Jaka jest wysokość odprawy emerytalnej? Jakie warunki należy spełnić, aby ją otrzymać? Czy odprowadza się od niej podatek i składki ZUS? Kiedy wypłacić odprawę?

    Jakie są składniki wynagrodzenia za pracę?

    15 wrz 2021
    Składniki wynagrodzenia za pracę to przede wszystkim wynagrodzenie zasadnicze i dodatki. Czym premia różni się od nagrody?