"Jeżeli możesz o czymś marzyć, możesz tego dokonać"

Walt Disney

Kiedy istnieje obowiązek przeprowadzania oceny skutków dla ochrony danych?

Kiedy istnieje obowiązek przeprowadzania oceny skutków dla ochrony danych?

Ogólne Rozporządzenie o Ochronie Danych Osobowych (w skrócie RODO) weszło w życie 25 maja 2018 roku. Nowe przepisy obowiązują więc już pięć lat, a mimo to wciąż jeszcze pojawiają się pewne niejasności i wątpliwości. RODO wprowadziło szereg istotnych zmian w zakresie ochrony danych, a jedną z nich jest dokonywanie oceny skutków dla ochrony danych.

Co oznacza ocena skutków dla ochrony danych osobowych?

Ocena skutków dla ochrony danych osobowych to proces, który polega na dokonaniu przez administratora oceny, czy operacje związane w organizacji z przetwarzaniem danych wiążą się z ryzykiem lub, co gorzej, z wysokim ryzykiem naruszenia praw osób, których dane te dotyczą. Jeżeli administrator uzna, że ryzyko to jest wysokie, to jego obowiązkiem jest wdrożenie takich działań, które ryzyko to zminimalizują lub całkowicie wyeliminują.

Kiedy należy dokonywać oceny skutków dla ochrony danych osobowych?

Sytuacji, w których ocena ta musi zostać dokonana jest naprawdę wiele. Na pewno z oceny tej administrator nie powinien rezygnować, gdy w organizacji, dla której pracuje przetwarzane są wrażliwe dane osobowe na dużą skalę. Do danych tych należą te, które dotyczą poglądów politycznych, pochodzenia rasowego i etnicznego, przekonań religijnych, orientacji seksualnej. Dane wrażliwe nie są tym samy, co dane osobowe, ale w takim samym stopniu jak one podlegają przepisom RODO. Również w przypadku systematycznego monitorowania miejsc, które są dostępne publicznie, ocena skutków dla ochrony danych osobowych jest konieczna. DPiA, czyli ocena skutków dla ochrony danych osobowych powinna zostać przeprowadzona jeszcze zanim rozpocznie się przetwarzanie danych. Metody, jakie mogą zostać do tego procesu wykorzystane są dowolne – RODO niczego z góry nie narzuca. Jeżeli ocena skutków dla ochrony danych osobowych jest wymagana, a mimo to nie zostanie przeprowadzona, organizacja, która obowiązku tego nie dopełni może zostać ukarana karą finansową wynoszącą nawet dziesięć milionów euro. Na przedsiębiorstwo może zostać nałożona też kara wynosząca do 2% rocznego obrotu.

Marcin Flieger (Specjalista ds. ochrony danych)

Podziel się

Napisz do nas

Powrót do góry