Ocena skutków przetwarzania dla ochrony danych w 8 krokach

Autor: Jowita Sobczak
Przeprowadzanie oceny skutków dla ochrony danych jest nowym obowiązkiem, który ciąży na administratorze danych. Administrator będzie musiał ją przeprowadzić, jeśli przetwarzanie będzie mogło rodzić wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Sprawdź, jakie kroki trzeba będzie podjąć w ramach oceny skutków przetwarzania.

1. Opracowanie wykazu rodzajów operacji przetwarzania, które podlegają wymogowi oceny skutków

W pierwszej kolejności należy opracować wykaz rodzajów operacji przetwarzania, które podlegają wymogowi przeprowadzenia oceny skutków dla ochrony danych. Wykaz powinien być dostosowany do potrzeb danej jednostki organizacyjnej oraz być prowadzony systematycznie. W tym celu można wyznaczyć osobę odpowiedzialną za te czynności. Opis planowanych operacji przetwarzania danych powinien w szczególności uwzględniać:
  • charakter, zakres, kontekst i cele przetwarzania danych osobowych,
  • informacje o odbiorcach oraz okres przechowywania,
  • opis przebiegu operacji przetwarzania danych,
  • systemy informatyczne, dokumenty papierowe oraz inne nośniki, na których będą przetwarzane dane,
  • wykaz osób, które mają być upoważnione do dostępu do danych.

2. Przeprowadzenie oceny niezbędności i proporcjonalności danych

Kolejny krok to przeprowadzenie oceny niezbędności i proporcjonalności danych, o której mowa w art. 35 ust. 7 lit. b ogólnego rozporządzenia. Należy ustalić, czy cel zebrania danych jest:
  • konkretny, wyraźny i prawnie uzasadniony,
  • zgodny z przepisami prawa,
  • adekwatny do zakresu danych.
 
Ponadto należy wskazać, czy zebrane dane są przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celu, dla którego zostały zebrane. Poza tym trzeba ocenić, czy realizowane są prawa osób, których dane dotyczą.

3. Wybór metody przeprowadzenia oceny skutków

Administrator powinien wybrać metodologię przeprowadzenia oceny skutków dla ochrony danych. Dobrze, jeśli będzie ona uwzględniać podstawowe cele i atrybuty ochrony danych osobowych. W szczególności takie jak:
  • poufność (dane są udostępniane tylko i wyłącznie upoważnionym podmiotom),
  • dostępność (dane muszą być zawsze dostępne dla upoważnionych użytkowników, kiedy jest to niezbędne),
  • integralność (dane nie powinny być zmieniane w sposób nieuprawniony, powinny pozostać nienaruszone, kompletne i aktualne).
Można wziąć także pod uwagę dodatkowe atrybuty ochrony danych takie jak autentyczność (dane osobowe są takie, jak zadeklarowano) i rozliczalność (działania podmiotu mogą być przypisane w sposób jednoznaczny tylko jemu). Jeżeli administrator nie chce korzystać z dostępnych metodologii, może opracować i wdrożyć własny proces realizacji oceny skutków, jednak musi on być zgodny z rodo.

4. Oszacowanie ryzyka

Administrator powinien uwzględnić źródła, charakter, specyfikę i powagę ryzyka w swojej jednostce organizacyjnej. W szczególności powinien wziąć pod uwagę atrybuty ochrony danych (poufność, dostępność, integralność). W odniesieniu do każdego ryzyka powinien ustalić, czy zostały uwzględnione źródła tego ryzyka, potencjalne skutki i zagrożenia dla praw lub wolności osób, których dane dotyczą.

5. Ustalenie, jak zapobiec ryzyku

Kolejna kwestia to określenie środków zaradczych pozwalających uniknąć lub zminimalizować zidentyfikowane ryzyka dla procesów przetwarzania danych. Jeżeli administrator nie zdoła określić wystarczających środków zaradczych, powinien w tym celu skonsultować się z organem nadzorczym.

6. Konsultacje z inspektorem ochrony danych

Administrator powinien konsultować się z inspektorem ochrony danych, przeprowadzając ocenę skutków przetwarzania – jeżeli został on wyznaczony. Warto, aby sformalizował udział inspektora w tych czynnościach, np. wprowadzając odpowiednie zapisy do dokumentacji ochrony danych osobowych. W stosownych przypadkach powinien zasięgnąć także opinii osób, których dane dotyczą, w sprawie zamierzonego przetwarzania ich danych.

7. Opracowanie sprawozdania z przeprowadzonej oceny

Administrator danych powinien opracować sprawozdanie z oceny skutków dla ochrony danych oraz dostarczyć je do właściwego organu nadzorczego, jeśli jest to wymagane.

8. Okresowe przeglądy

Ostatni etap to poddawanie oceny skutków dla ochrony danych oraz procesów przetwarzania okresowym przeglądom, w szczególności w przypadku zmiany ryzyka związanego z daną operacją przetwarzania.


Jowita Sobczak


Tagi: porady komputerowe, ochrona danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Skuteczne narzędzia do wykrywania uszkodzonych podzespołów

pobierz

Wykrywanie i usuwanie niechcianych programów

pobierz

Polecane artykuły

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji »
W jaki sposób zawiadomić o wyznaczeniu IOD

W jaki sposób zawiadomić o wyznaczeniu IOD »
Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie?

Zewnętrzny IOD – podpisać umowę powierzenia czy nadać upoważnienie? »
Array ( [docId] => 49929 )

Array ( [docId] => 49929 )
Array ( [docId] => 49929 )