Kategorie

RODO 2018: ocena skutków przetwarzania

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
RODO 2018: ocena skutków przetwarzania/fot. shutterstock
RODO nie dopuszcza możliwości zaakceptowania wysokiego ryzyka dla procesów przetwarzania danych. W takim przypadku administrator powinien przed przetwarzaniem dokonać oceny skutków dla ochrony danych, aby ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka.

Ocena skutków przetwarzania według RODO

Ogólne rozporządzenie o ochronie danych osobowych to ewolucja dotychczasowego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych, które powinno być oparte na ocenie ryzyka. Generalny Inspektor Ochrony Danych w grudniu 2017 roku opublikował dwuczęściowy poradnik: Jak rozumieć podejście oparte na ryzyku wg RODO? Warto do niego sięgnąć, aby zyskać ogólne pojęcie o zasadach szacowania ryzyka. Wadą poradnika jest jego uniwersalność i profesjonalizm, które mają zapewnić, że będzie miał zastosowanie zarówno do małych, jak i dużych organizacji. Dla osoby nie mającej pojęcia o szacowaniu ryzyka (albo w ogóle o ryzyku), może to być zbyt trudne źródło informacji (chociaż rzetelnie opracowane). Chciałabym podkreślić, że RODO nie narzuca żadnych konkretnych metod szacowania ryzyka – to administrator decyduje, jak dokona oceny tego ryzyka. Nie muszą to być wyrafinowane, czy skomplikowane metody. Podmioty publiczne mogą skorzystać z mechanizmów kontroli zarządczej – są im znane i od lat stosowane. Osoby rozpoczynające swoją przygodę z szacowaniem ryzyka, mogą robić tabele (macierze), ale mogą też po prostu wypisywać zidentyfikowane dla danego procesu ryzyka oraz ich skutki, a następnie opisywać co mogłoby je zminimalizować. Jest to metoda tak dobra, jak każda inna, dopóki działa i jest regularnie stosowana (to czy działa bardzo łatwo jest rozpoznać – zła metoda sprawia, że nie jesteśmy w stanie przeprowadzić analizy, utykamy w połowie).Szacowanie ryzyka jest jednym z ważniejszych elementów nowego podejścia do przetwarzania danych. Administrator powinien oceniać ryzyko, dokonywać jego oceny (może ja na przykład zaakceptować, przenieść na inny podmiot lub minimalizować).

Polecamy: Multipakiet RODO 2018 dla kadrowych i HR

RODO nie dopuszcza możliwości zaakceptowania wysokiego ryzyka dla procesów przetwarzania danych. W takim przypadku administrator powinien przed przetwarzaniem dokonać oceny skutków dla ochrony danych, aby ocenić konkretne prawdopodobieństwo i powagę tego wysokiego ryzyka, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz źródła ryzyka. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować to ryzyko, zapewniać ochronę danych osobowych oraz wykazać przestrzeganie niniejszego rozporządzenia (motyw 90 RODO).

Ocena skutków powinna zawierać (art. 35 ust. 7 RODO):

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Reklama

Innymi słowami ocena ryzyka to opis działania na danych osobowych, które generuje wysokie ryzyko wraz z informacjami, czy działanie jest rzeczywiście niezbędne (czyli uzasadnienie, dlaczego pomimo wysokiego ryzyka administrator chce to robić), jakie mogą być negatywne skutki jego działania dla osób, których dane przetwarza i jakie działania zamierza podjąć, aby zminimalizować ryzyko. Ocena ryzyka pozwala administratorowi rozważyć za i przeciw, zmierzyć się z możliwymi konsekwencjami oraz zaplanować właściwe działania zaradcze. Jeżeli w ramach oceny skutków, administrator znajdzie rozwiązania, które w jego ocenie skutecznie zminimalizują ryzyko, to działanie uznaje się dopuszczalne w myśl RODO.

Może jednak okazać się, że przyjęte rozwiązania nie minimalizują skutecznie ryzyka lub administrator po prostu obawia się ewentualnych negatywnych skutków swojego działania. Wówczas powinien skonsultować się z organem nadzoru (Prezes Urzędu Ochrony Danych). Dopiero po uprzednich konsultacjach będzie mógł dokonywać przetwarzania. Innym rozwiązaniem jest zastosowanie przez administratora zatwierdzonego kodeksu postępowania (gdy już taki będzie) lub skonsultowanie się (o ile to możliwe) z osobami, których będzie dotyczył proces przetwarzania (ale to w wielu przypadkach będzie niemożliwe).

Reklama

Ocena skutków powinna być działaniem ciągłym, regularnie powtarzanym, tak samo jak analiza ryzyk i zagrożeń. Są to bardzo dobre mechanizmy służące do audytu przyjętych rozwiązań. Pierwsze analizy, czy oceny mogą wydawać się bardzo subiektywne, a nawet bezsensowne, jednakże to poczucie będzie zmieniać się z każdą kolejną analizą. Sama analiza, jeżeli jest robiona skrupulatnie może trwać nawet miesiącami. Warto pierwsze analizy, czy oceny skutków robić dla kilku pojedynczych procesów. Wówczas będzie nie tylko łatwiej, ale także skuteczniej, bo osoba dokonująca analizy będzie mogła dokładnie przemyśleć swoje decyzje. Administrator oczywiście musi dokumentować, że przeprowadził określone czynności. Musi być w stanie wykazać, że dopełnił obowiązków wynikających z przepisów prawa.

GIODO opublikował pierwszy wykaz (konsultowany obecnie społecznie) czynności przetwarzania, które w jego ocenie zawsze powinny podlegać ocenie skutków: https://giodo.gov.pl/pl/1520281/10430

Polecamy serwis: Ochrona danych osobowych

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

Komentarze(0)

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Kadry

    Tarcza a urząd pracy - do kiedy wnioski?

    Tarcza z urzędu pracy czyli dofinansowanie wynagrodzeń, pożyczka i dotacja 5000 zł - do kiedy można składać wnioski?

    Zezwolenie na pobyt czasowy i pracę - obowiązki cudzoziemca

    Zezwolenie na pobyt czasowy i pracę nazywane jest zezwoleniem jednolitym. Jakie obowiązki ma cudzoziemiec, który otrzymał takie zezwolenie?

    Minimalne wynagrodzenie 2022

    Minimalne wynagrodzenie za pracę w 2022 r. - ile płaca minimalna wyniesie brutto i netto?

    Płaca minimalna 2022

    Płaca minimalna w 2022 r. - strona związkowa proponuje wzrost minimalnego wynagrodzenia za pracę o 500 zł netto.

    Otrzymał wypowiedzenie w bombonierce!

    Wypowiedzenie umowy o pracę - pracownik otrzymał je w bombonierce! Czy taka forma uzasadnia prawo do przywrócenia do pracy?

    Pilotażowe szczepienia w zakładach pracy od 17 maja 2021 r.

    Szczepienia w zakładach pracy - pilotaż startuje 17 maja 2021 r. Pracodawcy mogą wspomóc proces szczepień.

    In vitro i prawo do ubezpieczenia społecznego – wyrok ETPCz

    Czy podjęcie przez pracownicę nowego zatrudnienia w trakcie procedury in vitro stanowi podstawę do odmowy ubezpieczenia społecznego?

    Kod wykonywanego zawodu w ZUS ZUA i ZUS ZZA

    Kod wykonywanego zawodu w dokumentach ZUS ZUA i ZUS ZZA to ważna zmiana, która wejdzie w życie 16 maja 2021 r. Na czym w praktyce będzie polegał nowy obowiązek?

    Kompetencje cyfrowe - tego wymagają pracodawcy [RAPORT]

    Kompetencje cyfrowe - tego przede wszystkim wymagają pracodawcy. Cyfryzacja rynku pracy to trend przyspieszony przez epidemię koronawirusa. Jak nową rzeczywistość oceniają pracownicy? Na to pytanie odpowiada raport "Cyfrowa ewolucja kariery".

    Dwie umowy o pracę - składki ZUS

    Dwie umowy o pracę - co na to prawo? Składki ZUS opłaca się od jednej czy dwóch umów?

    Poważne zachorowanie - oszczędności PPK mogą pomóc

    Poważne zachorowanie - co to jest w rozumieniu ustawy o PPK? Jak oszczędności PPK mogą pomóc, gdy uczestnik PPK, jego małżonek lub dziecko zachoruje?

    Badanie trzeźwości pracownika - nowe przepisy

    Badanie trzeźwości pracownika alkomatem - nowe przepisy przyznają pracodawcy prawo do prewencyjnych, wyrywkowych kontroli alkomatem.

    Badanie trzeźwości pracownika 2021

    Badanie trzeźwości pracownika - w 2021 r. powstał projekt ustawy umożliwiający pracodawcy przeprowadzanie wyrywkowych kontroli trzeźwości pracownika.

    Praca dla informatyka 2021 - zarobki i praca zdalna [ANALIZA]

    Praca dla informatyka w 2021 r. - liczba ofert pracy dla informatyków wciąż rośnie. Dla pracowników z branży IT liczą się zarobki i praca zdalna. Analiza przedstawia obecną sytuację informatyków na rynku pracy.

    Godziny pracy 2021

    Godziny pracy 2021 - ile godzin pracy i dni wolnych od pracy wypada w poszczególnych miesiącach? Jak obliczyć godziny pracy?

    Długotrwałe niewykonywanie obowiązków - wypowiedzenie umowy

    Wypowiedzenie umowy - czy długotrwałe niewykonywanie części obowiązków pracownika uzasadnia rozwiązanie umowy za wypowiedzeniem?

    Rozliczanie czasu pracy zdalnej

    Czas pracy zdalnej to dosyć kłopotliwe zagadnienie. Jak ewidencjonować i kontrolować pracownika na home office? W jaki sposób rozliczać nadgodziny i wprowadzić zadaniowy czas pracy?

    Rynek pracy w czasie pandemii a szara strefa w rolnictwie

    Rynek pracy w czasie pandemii - czy część pracowników zasiliła szarą strefę w rolnictwie? Poniżej znajduje się analiza.

    Najwięcej ubezpieczonych cudzoziemców w historii - kwiecień 2021

    Cudzoziemcy pobili rekord - w kwietniu 2021 r. jest najwięcej ubezpieczonych w Polsce obcokrajowców w historii. Jak przedstawiają się liczby?

    Zmiany w ubezpieczeniach społecznych 2022

    Zmiany w ubezpieczeniach społecznych wejdą w życie 1 stycznia 2022 r. Co się zmieni? Nowe emerytury i renty będą wypłacane tylko na konto. Rozwiąże się problem emerytur czerwcowych. Zmienią się zasady pobierania zasiłków.

    Brexit a ubezpieczenia i rozliczenia podatkowe pracowników

    Brexit - jakie są skutki w zakresie ubezpieczeń społecznych i rozliczeń podatkowych pracowników? Wszystko o zaświadczeniu A1.

    Odpis na ZFŚS na emerytów i rencistów - byłych pracowników

    Odpis na ZFŚS na emerytów i rencistów będących byłymi pracownikami - jak obliczyć? Jak ustalić status tych osób i wysokość zwiększenia?

    Ostatni dzień na wdrożenie PPK!

    PPK - 10 maja 2021 r. to ostatni dzień na wdrożenie PPK czyli zawarcie umowy o prowadzenie PPK z wybraną instytucją finansową.

    Praca zdalna - przepisy prawne

    Praca zdalna - przepisy prawne regulujące home office znajdują się w ustawie covidowej. Kodeks pracy wciąż nie zawiera przepisów dotyczących pracy zdalnej.

    Bezrobocie w kwietniu 2021 r.

    Bezrobocie - w kwietniu 2021 r. w Polsce odnotowano spadek bezrobocia. Gdzie jest najwyższe bezrobocie, a gdzie najniższe?