Formularz DPIA

DPIA, czyli ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment) w kontekście RODO to proces, który musi zostać przeprowadzony przez administratora danych osobowych, gdy planowane jest przetwarzanie danych, które może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

• Opis planowanych operacji przetwarzaniato przede wszystkim odpowiedzi na pytania, w jakim celu, zakresie i czasie będą przetwarzane dane osobowe. Jeśli dla analizowanego procesu prowadzisz już rejestr czynności przetwarzania, znasz odpowiedzi na te pytania.
• Ocena konieczności i proporcjonalnościto odpowiedź na pytanie, czy zakres przetwarzanych danych, zakres osób, których dane przetwarzamy, a także zakres odbiorców którym te dane udostępniamy, jest niezbędny z punktu widzenia celów i podstaw prawnych przetwarzania.
• Środki planowane w celu wykazania zgodnościopisujemy przez wskazanie zabezpieczeń organizacyjnych i technicznych, a także rekomendacji dotyczących usunięcia wykrytych niezgodności.
• Ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą, obejmuje wskazanie: - jakie naruszenie może wystąpić,
  - z czego wynika możliwość wystąpienia zagrożenia (jakie są podatności),
  - jakie są możliwe skutki,
  - jaka jest waga zagrożenia,
  - jakie jest prawdopodobieństwo naruszenia,
  - jaki jest poziom ryzyka (jest to wynik mnożenia wagi i prawdopodobieństwa),
  - jakie są rekomendacje (jak zminimalizować ryzyko).
  Jeśli ryzyko jest wysokie oraz nie jesteśmy w stanie go zminimalizować, to musimy skonsultować się z Prezesem UODO (art. 36 RODO). Ryzyko jest wysokie, jeśli przekracza obiektywnie ustalony próg akceptowalności.
• Środki planowane w celu wyeliminowania ryzykaustala się na podstawie rekomendacji wydanych w poprzednim kroku. Realizując je, najczęściej niwelujemy podatności, z których wynika możliwość wystąpienia zagrożenia.
  Przykład:
  Planuje się weryfikować informacje dostarczane przez kandydatów na etapie rozmów kwalifikacyjnych. Kandydaci zapraszani na rozmowy będą proszeni o zabranie ze sobą dyplomów i certyfikatów.
• DokumentacjaDPIA obejmuje zapis czynności podejmowanych w ramach DPIA, jak również dowody audytowe, czyli np. kopie dokumentów potwierdzających prawdziwość ustaleń.
• Monitorowanie i przeglądDPIA należy dokonywać zawsze, gdy występuje możliwość zmiany ryzyka naruszenia praw lub wolności osób fizycznych. W ramach dobrych praktyk, oceny skutków dla ochrony danych należy dokonywać raz w roku.

Przeprowadzenie DPIA na gruncie RODO jest wymagane w określonych sytuacjach, które mogą wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych. Oto niektóre z kluczowych sytuacji, w których DPIA jest wymagana:

• Systematyczna i kompleksowa ocena osób, których dane dotyczą: W przypadku zautomatyzowanego przetwarzania danych, w tym profilowania, które służy do oceny czynników osobowych i ma znaczący wpływ na osoby fizyczne, tak jak podejmowanie zautomatyzowanych decyzji o skutkach prawnych.
• Przetwarzanie na dużą skalę danych osobowych szczególnej kategorii: W przypadku przetwarzania np. danych dotyczących zdrowia, orientacji seksualnej, przekonań religijnych, danych biometrycznych czy genetycznych.
• Systematyczne monitorowanie (na dużą skalę) miejsc dostępnych publicznie: Dla przykładu wykorzystanie kamer monitoringu w miejscach publicznych na dużą skalę.
• Wykaz organu nadzorczego: Właściwy organ nadzorczy może także określić wykaz rodzajów przetwarzania, które wymagają DPIA w danym państwie członkowskim.
• Spełnienie co najmniej 2 kryteriów WP248: Grupa Robocza Art. 29 (obecnie EROD) wyznaczyła 9 kryteriów (kryteria WP248), które mają pomóc ocenić ryzyko. Spełnienie co najmniej 2 z tych kryteriów zazwyczaj będzie wiązało się z obowiązkiem przeprowadzenia DPIA.

DPIA, podobnie jak analiza ryzyka, powinna być przeprowadzana regularnie, niemniej nie ma konkretnego harmonogramu, który określa, jak często należy przeprowadzać DPIA, ponieważ będzie to zależało od zmian w operacjach przetwarzania, specyfiki organizacji, rodzajów danych, które przetwarza, i sektora, w którym działa.

W każdym razie DPIA należy przeprowadzić przed rozpoczęciem przetwarzania, z którym może się wiązać wysokie ryzyko.

Nieprzeprowadzenie DPIA tam, gdzie jest to wymagane przez RODO, będzie stanowić naruszenie RODO.

Dalszymi konsekwencjami wynikającymi z naruszenia RODO mogą być m.in.: naruszenie praw osób, których dane dotyczą; kary finansowe, uszczerbek na reputacji firmy, koszty obsługi prawnej związanej z postępowaniami administracyjnymi i sądowymi

Tak, wymagania RODO odnoszą się do wszystkich organizacji przetwarzających dane osobowe obywateli Unii Europejskiej, niezależnie od ich wielkości. To oznacza, że małe firmy muszą również przeprowadzać DPIA w sytuacjach tego wymagających, a więc jeśli przetwarzanie danych, w którym biorą udział, może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

Do przeprowadzenia DPIA na gruncie RODO można wykorzystać różne narzędzia. Wybór konkretnego narzędzia będzie zależał od wielu czynników, takich jak specyfika organizacji, rodzaj przetwarzanych danych i związanych z nimi ryzyk.

Przykładem narzędzia może być arkusz kalkulacyjny (np. w programie Excel), , ale możliwe jest również skorzystanie z dedykowanych narzędzi do DPIA, które mogą pomóc w systematycznym przeprowadzaniu i dokumentowaniu tego procesu.

DPIA powinna być przeprowadzana przez osoby odpowiedzialne za ochronę danych w Twojej organizacji. Oto przykłady różnych osób, które mogą być zaangażowane w ten proces:

• Inspektor ochrony danych (IOD): Zgodnie z art. 35 ust. 2 RODO, administrator konsultuje się z inspektorem ochrony danych, jeśli został wyznaczony. Do zadań IOD należy udzielanie zaleceń co do DPIA i monitorowania jego wykonania
• Kierownictwo: Często wymagane jest zaangażowanie najwyższego kierownictwa, zwłaszcza jeśli DPIA ryzyka może wpływać na strategiczne decyzje dotyczące przetwarzania danych.
• Zespół ds. Bezpieczeństwa i Ochrony Danych: Specjaliści od bezpieczeństwa i ochrony danych mają niezbędną wiedzę i umiejętności, aby pomóc w DPIA.
• Prawnicy/Zespół Prawny: Eksperci prawni mogą dostarczyć niezbędnej wiedzy na temat zgodności z prawem i wymogów regulacyjnych.
• Dostawcy i Podwykonawcy: Jeśli przetwarzanie danych jest przekazywane dostawcom zewnętrznym, mogą oni również być zaangażowani w proces DPIA, aby zapewnić pełne zrozumienie ryzyka i środków bezpieczeństwa.

Firmy mogą zdecydować się na zewnętrzne wsparcie, takie jak outsourcing RODO, aby pomóc w przeprowadzeniu analizy ryzyka, w szczególności, jeśli nie mają odpowiednich zasobów lub specjalistycznej wiedzy technicznej.

Skuteczność DPIA można weryfikować poprzez wiele działań:

• Przestrzeganie wytycznych i ram oceny: Należy upewnić się, że DPIA została przeprowadzona zgodnie z wytycznymi i ramami określonymi przez organ nadzorczy oraz że zastosowano standardy branżowe tam, gdzie to możliwe.
• Ocena środków zaradczych: Należy sprawdzić, czy zalecane środki zaradcze zostały wdrożone i czy są skuteczne w zmniejszaniu zidentyfikowanych ryzyk. Można to zrobić przeprowadzając regularne audyty i testy.
• Konsultacja z personelem: Warto przeprowadzić konsultację z personelem, w tym z Inspektorem Ochrony Danych (IOD), zespołem prawnym, działem IT i innymi kluczowymi działami, aby zrozumieć ich perspektywę na skuteczność DPIA.
• Analiza skarg i zgłoszeń: Należy monitorować wszelkie skargi i zgłoszenia od osób, których dane dotyczą, aby zrozumieć, czy występują jakiekolwiek problemy związane z przetwarzaniem danych, które mogłyby wskazywać na nieodpowiednią skuteczność DPIA.
• Regularna aktualizacja: Środowisko regulacyjne i technologiczne się zmienia, więc regularna aktualizacja DPIA może pomóc w utrzymaniu jej skuteczności.
• Dokumentacja: Konieczne jest utrzymanie kompletnej i szczegółowej dokumentacji DPIA, w tym zidentyfikowanych ryzyk, środków zaradczych, konsultacji i decyzji. Dokumenty te będą stanowić dowód zgodności w razie kontroli przez organ nadzorczy.
• Audyty: Przeprowadzanie regularnych wewnętrznych i zewnętrznych audytów może dostarczyć niezależnej oceny skuteczności DPIA.

Ocena skuteczności DPIA powinna być procesem ciągłym, a nie jednorazowym działaniem. Regularne przeglądy i aktualizacje są kluczem do utrzymania skutecznego tego procesu.