Zamknij
Zamknij
ODO 24 logo
EN
PL
Strona główna  •  Narzędzia  •  Fromularz Pre-DPIA

Formularz Pre-DPIA

Ten formularz pomoże ci ustalić, czy analizowany proces wymaga przeprowadzenia DPIA

Zastanawiasz się, które operacje przetwarzania prowadzone przez Twoją organizację wymagają przygotowania oceny skutków dla ochrony danych (DPIA)? Mamy coś, co pomoże Ci rozstrzygnąć te wątpliwości. Stworzyliśmy specjalne narzędzie, które na podstawie wytycznych Europejskiej Rady Ochrony Danych (WP 248) oraz publikacji zagranicznych organów nadzorczych udziela jednoznacznej odpowiedzi na to zawiłe pytanie. Wykorzystaj je do tego, by w pełni zrozumieć, które operacje przetwarzania mogą stanowić potencjalne zagrożenie dla osób, których dane dotyczą, a w związku z tym – zasługują na dogłębną analizę.

dowiedz się więcej Zrób PRE-DPIA

Tomasz Michalczyk

Ocena skutków dla ochrony danych to proces, który pomaga organizacjom zidentyfikować, zrozumieć i zminimalizować ryzyko związane z przetwarzaniem danych osobowych. DPIA jest zazwyczaj wymagana w kontekście operacji przetwarzania, które mogą prowadzić do wysokiego ryzyka naruszenia praw i wolności osób fizycznych.

W praktyce nie zawsze jest oczywiste, które operacje przetwarzania danych wymagają DPIA. RODO wskazuje, że DPIA jest wymagana, gdy przetwarzanie danych „może prowadzić do wysokiego ryzyka dla praw i wolności osób fizycznych”, co obejmuje sytuacje takie jak wymienione poniżej (ale nie jest do nich ograniczone):

  • systematyczne i szczegółowe oceny czynników osobowych, w tym profilowanie;
  • przetwarzanie na dużą skalę szczególnych kategorii danych (np. danych biometrycznych, danych zdrowotnych, danych na temat przekonań religijnych lub politycznych itp.);
  • monitorowanie publicznie dostępnych miejsc na dużą skalę, zwłaszcza za pomocą systemów wizyjnych.
Jeśli po przeprowadzeniu wstępnej oceny uznasz, że Twoja operacja przetwarzania danych może wiązać się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą, to DPIA będzie niezbędna. Warto również zauważyć, że DPIA powinna być przeprowadzona przed rozpoczęciem operacji przetwarzania danych, aby umożliwić wprowadzenie wszelkich niezbędnych środków zaradczych.

Sprawdź, czy operacja przetwarzania wymaga DPIA

Za chwilę zapoznasz się z dziewięcioma kryteriami, przez pryzmat których ocenisz, czy analizowany przez Ciebie proces wiąże się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych. Jeżeli na co najmniej dwa pytania odpowiesz „tak”, to przeprowadzenie DPIA dla Twojej operacji przetwarzania danych będzie obowiązkowe. Pamiętaj, że istnieją operacje przetwarzania spełniające tylko jedno z wymienionych kryteriów, a mimo to wymagające przeprowadzenia DPIA. W szczególności dotyczy to operacji przetwarzania ujawnionych w wykazach opublikowanych przez europejskie organy nadzorcze

Oceniany proces
Wskaż nazwę procesu, który analizujesz pod kątem obowiązku wykonania DPIA.
Czy dochodzi do oceny lub punktacji, w tym profilowania i prognozowania?

W szczególności chodzi o ocenę lub punktację, w tym profilowanie i prognozowanie, na podstawie aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą.

Przykłady:

  • Instytucja finansowa sprawdza swoich klientów w referencyjnej bazie danych kredytowych lub bazie danych w zakresie przeciwdziałania praniu pieniędzy i zwalczania finansowania terroryzmu lub w bazie danych zawierającej informacje o nadużyciach finansowych.
  • Przedsiębiorstwo biotechnologiczne bezpośrednio oferuje konsumentom badania genetyczne w celu oceny i prognozowania ryzyka wystąpienia choroby lub zagrożeń dla zdrowia.
  • Przedsiębiorstwo tworzy profile zachowań lub profile marketingowe w oparciu o wykorzystanie lub nawigację swojej strony internetowej.
  • Profilowanie użytkowników portali społecznościowych i innych aplikacji w celu wysyłania informacji handlowej.
  • Ocena zdolności kredytowej przy użyciu algorytmów sztucznej inteligencji, objęta obowiązkiem zachowania tajemnicy, i żądanie ujawnienia danych niemających bezpośredniego związku z oceną zdolności kredytowej.
  • Ocena stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych, na której podstawie np. podwyższa się tym osobom cenę składki ubezpieczeniowej, nazywana ogólnie optymalizacją składki ubezpieczeniowej.
Czy dochodzi do automatycznego podejmowania decyzji o skutku prawnym lub podobnie znaczącym skutku?

Automatyczne podejmowanie decyzji to proces, w którym decyzje dotyczące osób fizycznych są podejmowane lub zatwierdzane bez jakiejkolwiek istotnej interwencji człowieka. Te decyzje opierają się na automatycznej analizie danych, często z wykorzystaniem algorytmów i technologii machine learning.

Termin „decyzja o skutku prawnym” odnosi się do decyzji, która ma bezpośredni wpływ na prawa, obowiązki lub status prawny osoby, której dane dotyczą. Przykłady to decyzje o przyznaniu kredytu, decyzje dotyczące zatrudnienia czy decyzje o ubezpieczeniach.

„Podobnie znaczący skutek” odnosi się do decyzji, które mogą nie mieć bezpośredniego skutku prawnego, ale mają znaczny wpływ na życie osobiste jednostki. Przykładowo automatyczne profilowanie na podstawie nawyków przeglądania internetu, które prowadzi do indywidualnej personalizacji ofert produktów lub usług, może mieć „podobnie znaczący skutek”.

Przykłady:

  • Systemy monitoringu wykorzystywane do zarządzania ruchem, umożliwiające szczegółowy nadzór nad kierowcą oraz jego zachowaniem na drodze, w szczególności systemy pozwalające na automatyczną identyfikację pojazdów, a także systemy automatycznego pobierania opłat za wjazd.
  • Systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych lub automatycznego ustalania cen promocyjnych na podstawie profilu.
  • Monitorowanie zakupów i preferencji zakupowych.
  • Zautomatyzowane podejmowanie decyzji w sprawie zdolności kredytowej.
  • Zautomatyzowane podejmowanie decyzji w sprawie uprawnień do świadczeń socjalnych.
  • Zautomatyzowane podejmowanie decyzji w sprawie prawa do stypendium.
  • Zautomatyzowane podejmowanie decyzji w sprawie kwalifikacji zawodowych.
  • Zautomatyzowane podejmowanie decyzji w sprawie uprawnień do ubezpieczenia zdrowotnego.
Czy dochodzi do obserwowania, monitorowania lub kontrolowania osób, których dane są w ten sposób gromadzone, w tym za pośrednictwem sieci lub w ramach systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie?

Ten punkt dotyczy sytuacji, w których dane osobowe są gromadzone w wyniku obserwowania, monitorowania lub kontrolowania osób, których te dane dotyczą. Ten proces może obejmować różne metody i technologie, takie jak monitoring CCTV, śledzenie lokalizacji za pośrednictwem urządzeń GPS, monitorowanie aktywności w sieci, np. śledzenie nawyków przeglądania czy analiza mediów społecznościowych.

Przykłady:

  • Monitorowanie osób korzystających z usług w przestrzeni publicznej przy wykorzystaniu danych wykraczających poza dane niezbędne do świadczenia tych usług.
  • Gromadzenie i wykorzystywanie danych przez aplikacje instalowane w urządzeniach mobilnych, w tym urządzeniach zintegrowanych z mundurem, kaskiem lub urządzeniach w inny sposób połączonych z osobą pozyskującą dane.
  • Systemy monitoringu pojazdów nawiązujące połączenia z otoczeniem, w tym z innymi pojazdami.
  • Systemy wykorzystujące RFID w przypadku, gdy znaczniki/etykiety są lub mogą być przypisane osobom fizycznym.
  • Zautomatyzowane systemy rozpoznawania tablic rejestracyjnych.
  • Transport publiczny i elektroniczne pobory opłat.
  • Projekty e-administracji.
  • Kontrola danych dotyczących nazwiska pasażera.
  • Czarne listy przestępców.
  • Monitoring wizyjny wydarzeń z użyciem dronów.
  • Monitoring wizyjny przestrzeni publicznej.
  • Masowe lub systematyczne przetwarzanie danych przez organy ścigania w związku z przestępstwami lub wykroczeniami.
Czy przetwarzanie obejmuje szczególne kategorie danych osobowych oraz dane osobowe dotyczące wyroków skazujących za przestępstwo lub naruszeń prawa albo dane o charakterze wysoce osobistym?

Szczególne kategorie danych osobowych obejmują dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Wytyczne WP 248 wskazują, że oprócz szczególnych kategorii danych w rozumieniu art. 9 RODO i danych o wyrokach skazujących w rozumieniu art. 10 RODO szczególnie chronione powinny być także „dane wrażliwe” w powszechnym rozumieniu tego sformułowania. Za takie dane uznano w szczególności: dane finansowe, dane dotyczące lokalizacji, dane zawarte w prywatnych i osobistych notatkach.

Przykłady:

  • Przetwarzanie przez organy państwowe lub podmioty prywatne danych osobowych dotyczących przynależności partyjnej i/lub preferencji wyborczych.
  • Regularne przetwarzanie danych pomiarowych, umożliwiające obserwację stylu życia, przemieszczania się w terenie, intensywności korzystania z mediów, energii itp. (np. danych geolokalizacyjnych, danych z inteligentnych liczników pomiarowych o zużywanej energii, danych bilingowych dotyczących komunikacji elektronicznej).
  • Przechowywanie przez szpital dokumentacji medycznej pacjentów.
  • Przechowywanie przez prywatnego detektywa szczegółowych danych przestępców.
  • Przetwarzanie danych takich jak dokumenty osobiste, wiadomości e-mail, pamiętniki, notatki z e-czytników wyposażonych w funkcję notatnika oraz danych mających bardzo osobisty charakter, zawartych w aplikacjach rejestrujących codzienną aktywność.
  • Tworzenie i funkcjonowanie baz danych o przestępstwach lub wykroczeniach.
  • Udoskonalenie lub przeprojektowanie medycznych systemów informacyjnych, rozwiązań i aplikacji.
  • Nowe aplikacje mobilne do monitorowania stanu zdrowia.
  • Marketing bezpośredni oparty na szczególnych kategoriach danych osobowych.
  • Rozwój interfejsów i aplikacji umożliwiających dostęp do rejestrów przestępstw i wykroczeń.
  • Systemy e-zdrowia.
  • Systemy kontroli dostępu.
  • Systemy rozpoznawania twarzy.
  • Biometria w urządzeniach mobilnych.
  • Systemy zarządzania czasem pracy.
  • Diagnoza medyczna.
  • Testy DNA.
  • Badania medyczne (w tym z określaniem prawdopodobieństwa wystąpienia choroby).
  • Przetwarzanie wykorzystujące śledzenie lokalizacji osoby fizycznej.
Czy dane osobowe są przetwarzane na dużą skalę?

Przy ustalaniu, czy przetwarzanie odbywa się na dużą skalę, należy wziąć pod uwagę takie czynniki jak liczba osób, których dane dotyczą, procent określonej grupy społeczeństwa, zakres przetwarzanych danych osobowych, okres przetwarzania oraz zakres geograficzny przetwarzania danych osobowych. Pojęcie "dużej skali" nie posiada jednoznacznej liczbowej definicji i może się różnić w zależności od kontekstu i interpretacji. Orzecznictwo europejskich organów nadzorczych wskazuje na próby nadania temu pojęciu wymiernego charakteru, np. czeski organ nadzorczy podaje, że przetwarzanie danych 10 001 osób lub 0,01% populacji można uznać za przetwarzanie na dużą skalę. Więcej informacji na ten temat można znaleźć w naszym artykule.

Przykłady:

  • Centralne zbiory danych wspomagające zarządzanie określoną grupą osób w celach związanych z realizacją zadań publicznych.
  • Zbieranie szerokiego zakresu danych o przeglądanych stronach internetowych, realizowanych zakupach, historii zakupów, oglądanych programach telewizyjnych lub radiowych.
  • Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej przez niego działalności.
  • Przetwarzanie danych o podróży osób fizycznych korzystających z miejskiego systemu transportu publicznego.
  • Przetwarzanie danych określających położenie geograficzne klientów międzynarodowej sieci restauracji typu fast food w czasie rzeczywistym.
  • Przetwarzanie danych klientów przez zakład ubezpieczeń lub bank w ramach prowadzonej przez te podmioty działalności gospodarczej.
  • Przetwarzanie danych osobowych przez wyszukiwarkę internetową na potrzeby reklamy behawioralnej.
  • Przetwarzanie danych przez dostawców usług telefonicznych lub internetowych.
  • Programy lojalnościowe.
  • Dane pochodzące z łączności elektronicznej przetwarzane przez operatorów telekomunikacyjnych.
  • Ogólnokrajowe rejestry danych osobowych.
  • Dane finansowe oraz dane dotyczące korzystania z usług finansowych w bankach, kasach oszczędnościowych i innych instytucjach finansowych.
Czy dochodzi do dopasowywania lub łączenia zbiorów danych?

Dopasowywanie lub łączenie zbiorów danych odnosi się do łączenia danych pochodzących z co najmniej dwóch operacji przetwarzania danych przeprowadzonych w różnych celach lub przez różnych administratorów danych w sposób wykraczający poza uzasadnione oczekiwania osób, których dane dotyczą. Przykłady takiego łączenia danych mogą obejmować zestawianie danych ubezpieczycieli z danymi o roszczeniach ubezpieczeniowych w celu analizy trendów i związków przyczynowo-skutkowych, zestawianie danych o absencji z danymi dotyczącymi płci, wieku i wykształcenia pracowników, analizę nawyków zakupowych lub nawyków korzystania z usług komunikacyjnych. Dopasowywanie lub łączenie zbiorów danych może przekraczać oczekiwania osób, których dane są przetwarzane, dlatego wymaga szczególnej ostrożności i przestrzegania zasad RODO.

Przykłady:

  • Zestawianie danych ubezpieczycieli z danymi o roszczeniach ubezpieczeniowych przez zakład ubezpieczeń w celu analizy trendów, udziałów, związków przyczynowo-skutkowych itp.
  • Zestawianie danych o absencji z danymi dotyczącymi płci, wieku i wykształcenia pracowników.
  • Analiza nawyków zakupowych i nawyków w zakresie poruszania się.
  • Analiza ruchu, korzystania i nawyków użytkowników komunikacji elektronicznej.
  • Analiza big data w jednym z ogólnonarodowych rejestrów lub w kilku ogólnonarodowych rejestrach.
Czy przetwarzane są dane dotyczące osób wymagających szczególnej opieki?

Zgodnie ze wskazaniami Europejskiej Rady Ochrony Danych (WP 248) chodzi tutaj w szczególności „o nierównowagę sił między osobami, których dane dotyczą, a administratorem”. Do osób wymagających szczególnej opieki zaliczono przede wszystkim:

Przykłady:

  • dzieci
  • pracowników w relacji z pracodawcą
  • osoby chore psychicznie
  • osoby ubiegające się o azyl
  • migrantów
  • osoby starsze
  • pacjentów
  • osoby o ograniczonej zdolności do czynności prawnych lub osoby nieposiadające zdolności do czynności prawnych
Czy dochodzi do innowacyjnego wykorzystania lub zastosowania rozwiązań technologicznych lub organizacyjnych?

Zestawienie tego kryterium z tempem rozwoju technologii powoduje, że ta przesłanka coraz częściej może stanowić czynnik decydujący o obowiązkowym przeprowadzeniu DPIA. Na dzień oddawania do użytku tego formularza „innowacyjne wykorzystanie” może odnosić się do nowych sposobów przetwarzania danych, które są znacząco różne od tradycyjnych metod. Przykładem może być wykorzystanie sztucznej inteligencji do analizy danych, wprowadzenie zaawansowanego profilowania klientów za pomocą algorytmów machine learning czy wykorzystanie technologii blockchain do przechowywania danych.

Przykłady:

  • Systemy zdalnego opomiarowania, które biorą pod uwagę zakres i częstość zbierania danych, aby umożliwić profilowanie osób lub grupy osób.
  • Systemy analizy i przetwarzania danych znajdujących się w metadanych, np. zdjęcia opatrzone danymi geolokalizacyjnymi.
  • Systemy stosowane do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń przenośnych typu smartwatch, inteligentne opaski, beacony itp., analizujące dane i przekazujące je dostawcom przy użyciu aplikacji mobilnych.
  • Stosowanie urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne.
  • Usługi i zabawki przeznaczone dla dzieci.
  • Konsultacje telemedyczne z ośrodkami spoza UE, przekazywanie medycznych danych osobowych o zasięgu międzynarodowym.
  • Połączenie technologii rozpoznającej odcisk palca z technologią rozpoznającą twarz w celu poprawy fizycznej kontroli dostępu.
  • Wykorzystywanie dronów.
  • Inteligentne systemy analizy wideo.
Czy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy?

Obejmuje to operacje przetwarzania, których celem jest umożliwienie osobom, których dane dotyczą, uzyskania dostępu do usługi lub zawarcia umowy, zmiana tego dostępu lub odmówienie dostępu.

Przykłady:

  • Podejmowanie decyzji kredytowej w stosunku do potencjalnych klientów na podstawie informacji zawartych w bazach zawierających informacje o dłużnikach lub w podobnych bazach danych.
  • Uzależnianie możliwości korzystania z usługi od informacji w zakresie dochodów, kwoty miesięcznych wydatków i innych wartości zebranych w wyniku profilowania.
  • Ogólnokrajowy elektroniczny system poboru opłat.
Czy przetwarzanie wymaga przeprowadzenia DPIA z innych względów?

W niektórych przypadkach administrator danych może uznać, że przetwarzanie spełniające tylko jedno z wyżej wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych. W szczególności dotyczy to sytuacji, gdy dana operacja przetwarzania znajduje się w wykazanie operacji przetwarzania wymagających DPIA opublikowanym przez Prezesa Urzędu Ochrony Danych Osobowych.

Tomasz Ochocki

BEZPŁATNA KONSULTACJA

Wciąż nie wiesz, czy trzeba przeprowadzić DPIA?
Zapytaj doradcę

UMÓW TERMIN

Zastrzeżenie

W celu uzyskania wiarygodnego wyniku oceny, czy zachodzi konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA), zaleca się uważne i kompleksowe wypełnienie wszystkich pól tego narzędzia. Każdy element, w tym ryzyko dla praw i wolności osób fizycznych, powinien być rozważany z należytą starannością, zgodnie z wymogami określonymi w art. 35 RODO. Z tego względu niniejszy formularz może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub jakąkolwiek osobę, które korzystają z formularza na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub jakiejkolwiek osoby za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z formularza, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.
Konieczne DPIA?

Pre-DPIA - pytania i odpowiedzi

- + Co to jest DPIA?

DPIA (Data Protection Impact Assessment), czyli ocena skutków dla ochrony danych, to proces, który pomaga organizacjom zidentyfikować i zminimalizować ryzyko związane z przetwarzaniem danych osobowych.

Zgodnie z RODO DPIA jest wymagana wtedy, gdy jest prawdopodobne, że przetwarzanie danych spowoduje wysokie ryzyko dla praw i wolności osób fizycznych. DPIA jest użytecznym narzędziem do budowania i demonstracji zgodności z RODO. Powinno to obejmować przegląd projektów, w których są przetwarzane dane osobowe, ocenę ryzyka dla praw osób, których te dane dotyczą, oraz określenie środków, które mogą być zastosowane w celu zmniejszenia tego ryzyka.

- + Kiedy trzeba przeprowadzić DPIA?

Zgodnie z RODO konieczność przeprowadzenia oceny skutków dla ochrony danych (DPIA) pojawia się wtedy, gdy planowane przetwarzanie danych osobowych może wiązać się z wysokim ryzykiem dla praw i wolności osób fizycznych. RODO wskazuje trzy sytuacje, w których DPIA jest szczególnie wymagana:

  • systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO;
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

- + Kto robi DPIA?

Ocena skutków dla ochrony danych (DPIA) jest przeprowadzana przez administratora danych. To administrator danych jest odpowiedzialny za zapewnienie tego, że przetwarzanie danych jest zgodne z prawem, co obejmuje przeprowadzenie DPIA wtedy, gdy jest to wymagane.

Chociaż to sam administrator danych jest odpowiedzialny za przeprowadzenie DPIA, może on zaangażować inne osoby, np. doradców ds. ochrony danych, zewnętrznych konsultantów czy inspektorów ochrony danych, aby pomogły mu w tym procesie. Istotne jest to, aby wszyscy zaangażowani mieli odpowiednie doświadczenie i wiedzę, aby dokonać właściwej oceny ryzyka związanego z przetwarzaniem danych.

W wielu przypadkach inspektor ochrony danych odgrywa kluczową rolę w przeprowadzaniu DPIA. Może on doradzać w podejmowaniu decyzji, czy DPIA jest wymagana, nadzorować jej przeprowadzenie i zagwarantować, że zostały podjęte odpowiednie kroki, aby zminimalizować ryzyko dla praw i wolności osób, których dane dotyczą.

Podsumowując, chociaż odpowiedzialność za przeprowadzenie DPIA spoczywa na administratorze danych, proces ten może być przeprowadzany przez różne osoby lub zespoły w zależności od struktury i zasobów organizacji.

- + Czy RODO wymaga, aby dla każdej operacji przetwarzania została przeprowadzona ocena skutków dla ochrony danych?

Nie, RODO nie wymaga, aby dla każdej operacji przetwarzania danych została przeprowadzona ocena skutków dla ochrony danych (DPIA). DPIA jest wymagana tylko wtedy, gdy planowane przetwarzanie danych osobowych „prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych”.

W szczególności RODO wymienia trzy rodzaje operacji przetwarzania, które zazwyczaj wymagają DPIA:

  • systematyczna, kompleksowa ocena czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  • przetwarzanie na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10 RODO;
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

- + Czy procesor danych musi przeprowadzić DPIA?

Zgodnie z RODO odpowiedzialność za przeprowadzenie oceny skutków dla ochrony danych (DPIA) leży po stronie administratora danych, a nie procesora. Administrator danych to podmiot, który określa cele i środki przetwarzania danych osobowych, podczas gdy procesor przetwarza dane na podstawie instrukcji administratora.

Jednak w praktyce procesor danych może być zaangażowany w proces DPIA i może dostarczyć cennych informacji, które pomogą administratorowi zrozumieć, jakie ryzyka są związane z przetwarzaniem i jak je zminimalizować. Procesorzy danych mogą wnieść istotny wkład w proces DPIA dzięki swojej ekspertyzie i posiadanemu doświadczeniu w obszarze technologii i operacji przetwarzania danych.

- + Jak często należy przeprowadzać DPIA?

Ocena skutków dla ochrony danych (DPIA) powinna być przeprowadzana przed rozpoczęciem nowego rodzaju przetwarzania danych, które prawdopodobnie spowoduje wysokie ryzyko dla praw i wolności osób fizycznych.

W szczególności DPIA powinna być przeprowadzana wtedy, gdy planowane jest wdrożenie nowych technologii, nowych form przetwarzania danych, a także gdy zmienia się kontekst, natura, zakres, cel przetwarzania lub ryzyko związane z przetwarzaniem danych.

Ponadto DPIA powinna być traktowana jako „żywy dokument”, co oznacza, że powinna być przeglądana i aktualizowana regularnie, szczególnie wtedy, gdy zmieniają się okoliczności przetwarzania danych. RODO nie określa jednak konkretnych terminów przeglądania DPIA.

- + Jak rozumieć podejście oparte na ryzyku, o którym mowa w RODO?

Podejście oparte na ryzyku w kontekście RODO oznacza, że organizacje muszą podejmować działania związane z ochroną danych, które są proporcjonalne do poziomu ryzyka, jakie niesie ze sobą przetwarzanie danych osobowych.

Ryzyko to potencjał naruszenia praw i wolności osób fizycznych związany z przetwarzaniem ich danych osobowych. Może to obejmować np. ryzyko naruszenia prywatności, ryzyko finansowe, ryzyko reputacji, a w niektórych przypadkach nawet ryzyko fizyczne. Poziom ryzyka może się różnić w zależności od wielu czynników, takich jak rodzaj przetwarzanych danych, sposób, w jaki są one przetwarzane, czy liczba osób, których dane są przetwarzane.

Podejście oparte na ryzyku oznacza, że organizacje muszą najpierw ocenić te ryzyka (np. dzięki przeprowadzeniu oceny skutków dla ochrony danych – DPIA), a następnie podjąć odpowiednie kroki, aby zminimalizować je do akceptowalnego poziomu. To może obejmować różne środki, takie jak zabezpieczenia techniczne (np. szyfrowanie), zabezpieczenia organizacyjne (np. szkolenia pracowników) i inne.

Podejście oparte na ryzyku oznacza, że nie wszystkie formy przetwarzania danych wymagają takich samych środków ochrony. Przykładowo przetwarzanie danych szczególnie wrażliwych, takich jak dane zdrowotne, może wymagać większej ochrony niż przetwarzanie mniej wrażliwych danych, jak imiona i adresy e-mail.

- + Jak długo należy przechowywać wyniki DPIA?

RODO nie określa konkretnego okresu przechowywania wyników oceny skutków dla ochrony danych (DPIA). Jednak zgodnie z ogólnymi zasadami RODO dotyczącymi rozliczalności wyniki DPIA powinny być przechowywane przez cały okres przetwarzania danych, do którego odnoszą się te wyniki.

Jest to konieczne, ponieważ wyniki DPIA mogą być wymagane do wykazania zgodności z RODO, np. w przypadku inspekcji przeprowadzanej przez Prezesa Urzędu Ochrony Danych Osobowych. Ponadto, ponieważ RODO wymaga regularnego przeglądu i aktualizacji DPIA, przechowywanie wyników poprzednich ocen może być przydatne w celu śledzenia zmian ryzyka związanego z przetwarzaniem danych i skuteczności zastosowanych środków zaradczych.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).

Zamknij
Szukaj w ODO24.pl

Zapisz się na biuletyn ODO 24

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.

Potwierdź swój adres e-mail

Wysłaliśmy do Ciebie wiadomość.

Tylko jedno kliknięcie dzieli Cię od bezpłatnego pakietu poradników i szkoleń. Potwierdź swój adres e-mail klikając w link, który znajdziesz w wiadomości od ODO 24.

Jeżeli e-mail do Ciebie nie dotrze - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).