ODO24 Logo
ODO24 Logo
ODO24 Logo

Formularz DPIA

Monitorujesz czas pracy pracowników? Przetwarzasz dane szczególnych kategorii? Ustanowiłeś kanały zgłaszania naruszeń przez sygnalistów?

Jeżeli tak, to prawdopodobnie ciąży na Tobie obowiązek przeprowadzenia DPIA. Skorzystaj z naszego formularza i oceń ryzyka z tym związane.

Gdy Twoja organizacja gromadzi, przechowuje lub wykorzystuje dane osobowe, ludzie, których dane przetwarzasz, są narażeni na szereg ryzyk. Obejmują one m.in. kradzież lub nieumyślne ujawnienie danych osobowych lub też ich wykorzystanie do innych niż pierwotnie zdefiniowane celów. Ocena skutków dla ochrony danych (DPIA) to sposób na systematyczną i wszechstronną analizę prowadzonych przez Ciebie operacji przetwarzania oraz identyfikację i minimalizację zagrożeń dla ochrony danych.

Dobrze wykonane DPIA zapewni Ci m.in.:

  • zgodność z RODO i uniknięcie kar;
  • zaufanie ludzi, których dane chcesz przetwarzać;
  • minimalizację ryzyk związanych z wyciekiem danych osobowych;
  • niższe koszty operacyjne związane z optymalizacją przepływu informacji w ramach projektu oraz wyeliminowanie zbędnego gromadzenia i przetwarzania danych.

Formularz DPIA, który dla Ciebie przygotowaliśmy zawiera wszystkie elementy wymagane przez wytyczne EROD w sprawie oceny skutków dla ochrony danych. Dzięki temu nie musisz martwić się, czy uwzględniłeś wszystkie elementy tego nie łatwego procesu.

Jeżeli mimo to nie wiesz, jak wypełnić go treścią, nie martw się, jesteśmy obok i chętnie Ci pomożemy.

Wykonaj DPIA

1Systematyczny opis operacji przetwarzania
Wskaż nazwę procesu, dla którego wykonujesz DPIA.
W celu przeprowadzenia DPIA potrzebna jest wiedza na temat kontekstu przetwarzania (wewnętrznego i zewnętrznego) w ramach danej operacji, a zatem istotnych z punktu widzenia podmiotu danych okoliczności przetwarzania. Ponadto konieczne będzie opisanie charakteru, celu i zakresu przetwarzania, tj. nieodłącznych cech danej operacji (np. kategorie danych, kwestie regulacyjne, liczba osób/danych, ustalone cele przetwarzania). Administrator będzie zatem musiał odpowiedzieć sobie na pytanie, jak przetwarza dane, w tym jak przepływają dane w organizacji, i w jakim celu/ dlaczego. Pierwsze pytanie w naszym kwestionariuszu dotyczy właśnie opisu środowiska przetwarzania - zastanów się, jaką organizacją jest administrator danych osobowych, a także nad kategoriami osób, których dane dotyczą i relacją twojej organizacji z tymi osobami, jakie przetwarzanie ma istotne cechy. Zastanów się, jakie przepisy regulują przetwarzanie - czy istnieją przepisy szczególne (np. w sprawach kadrowych - Kodeks pracy), czy operacja ma być przeprowadzona w środowisku wysoce regulowanym (np. finanse lub zdrowie). Jeśli to dotyczy Twojej organizacji, wskaż również inne normy i standardy, które mają wpływ na przetwarzanie danych (np. normy ISO, BRCGS, kodeksy etyczne, kodeksy postępowania, certyfikaty z art. 42 RODO).
Cykl życia danych, czyli ścieżka, jaką mają poruszać się dane osobowe w danej operacji, a zatem opisz, jak pozyskujesz dane, jak je wykorzystujesz w danej operacji lub operacjach, a następnie opisz, co się stanie w momencie, kiedy dane nie są już niezbędne w danej operacji (np. dane są usuwane z systemu, dokumenty są brakowane i niszczone etc.).
Jakie cele przetwarzania administrator zidentyfikował? Po co dane są przetwarzane? (w zakresie konkretności celu i innych elementów prawidłowo określonego celu - zob. pyt. Czy cele przetwarzania są konkretne, wyraźne i prawnie uzasadnione (art. 5 ust. 1 lit. b RODO)? )
Zastanów się, kto w ramach organizacji bierze udział w przetwarzaniu, np. w procesach związanych z zatrudnieniem może to być Dział HR.
Wskaż wszystkich procesorów zaangażowanych w ten proces.
Czy oprócz pracowników administratora i procesorów zaangażowane są również inne podmioty? Komu jeszcze udostępniasz dane? Mogą to być organy publiczne, współadministratorzy, spółki z grupy kapitałowej, podmioty, które w ramach realizowanej usługi będą mieć status osobnego administratora (np. adwokat). Jaka jest podstawa udostępnienia?
Wskaż jakich kategorii osób dane dotyczą, np. kandydaci do pracy, pracownicy, sygnaliści, klienci, osoby działające w imieniu klientów – firm, osoby objęte monitoringiem wizyjnym, osoby wnioskujące o przyznanie kredytu, użytkownicy strony internetowej, użytkownicy aplikacji mobilnej, czytelnicy korzystający ze zbiorów bibliotecznych itp.
Wskaż rodzajowo kategorie danych osobowych: imię, nazwisko, PESEL, NIP, adres e-mail etc. Zwróć uwagę na dane szczególnych kategorii, a także na dane, z którymi może być związane wyższe ryzyko wystąpienia negatywnych skutków, takie jak dane wysoce osobiste, czy dane o szczególnych charakterze (np. tożsamość płciowa, szczegółowe informacje geolokalizacyjne, przekonania światopoglądowe, informacje zawarte w dziennikach/pamiętnikach).
Pytanie dotyczy przede wszystkim aktywów wykorzystywanych w procesie przetwarzania danych osobowych, takich jak urządzenia, wyposażenie, systemy IT, technologie, nośniki.
2Ocena niezbędności i proporcjonalności
Nieodłączną cechą przetwarzania jest cel danej operacji. Administrator nie może przetwarzać danych osobowych bez uprzedniej identyfikacji celu. Administrator danych osobowych jest wręcz definiowany przez możliwość określania celów i sposobów przetwarzania. Cele powinny być konkretne, wyraźne i prawnie uzasadnione, co oznacza, że powinny być na tyle precyzyjnie określone, aby można było ocenić daną operację przetwarzania, co się w niej mieści, a co nie będzie wchodziło w jej zakres, a także ocenić zgodność przetwarzania z prawem. Ocena taka powinna być możliwa do dokonania zarówno przez organ nadzorczy, ale także przez podmiot danych, któremu cel powinien być wyraźnie (przejrzyście) zakomunikowany.
Jak już wspomiano - cel powinien być prawnie uzasadniony, a zatem zgodny z prawem, w tym przetwarzanie w związku ze wskazanym celem powinno być oparte na ważnych podstawach prawnych z art. 6 RODO. Jeśli przetwarzasz dane na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f RODO), wskaż, na czym polega ten interes, z czego wynika niezbędność przetwarzania i w jaki sposób interes ten jest nadrzędny wobec interesów osoby, której dane dotyczą. W tym miejscu można się odnieść do przeprowadzonego testu równowagi. Pomocnym narzędziem jest Formularz testu równowagi. W przypadku obowiązku prawnego czy też realizacji zadania publicznego - wskaż podstawę prawną z właściwych ustaw.
W jaki sposób dane osobowe przetwarzane w ramach danej operacji będą podlegały zasadzie minimalizacji danych? Np. czy projektowany system będzie miał formularze, w których użytkownik może swobodnie podawać dane, czy wprost wskazano, jakie to są dane i w jakich komórkach powinny być podane.
Wskaż planowane okresy przechowywania danych oraz w jaki sposób planujesz zapewnić, że dane zostaną usunięte bądź zanonimizowane po upłynięciu wskazanego okresu, np. poprzez automatyczne usunięcie danych z systemu po przekroczeniu wskazanej w systemie daty.
W jaki sposób zapewnisz zachowanie wysokiej jakości danych w ramach przetwarzania? Np. poprzez regularne przeglądy pod kątem jakości danych, umożliwienie użytkownikom aktualizacji danych, dokumentowanie zmian danych.
Administratorzy powinni zawierać umowy powierzenia ze swoimi procesorami. Zweryfikuj, czy procesorzy, z którymi współpracujesz, działają na podstawie umów, a także czy umowy te są aktualne/zgodne z art. 28 RODO. Czy weryfikujesz gwarancje procesorów?
Zidentyfikuj transfery danych osobowych poza EOG, a także podstawy tych transferów (np. decyzja o adekwatności, standardowe klauzule umowne, wiążące reguły korporacyjne). Czy przeprowadziłeś/aś już TIA? Pomocne w przeprowadzeniu TIA jest nasze narzędzie Kalkulator TIA.
W jaki sposób planujesz informować osoby, których dane dotyczą, o przetwarzaniu ich danych? Czy informacje, które chcesz przekazać, są sporządzone jasnym i prostym językiem dostosowanym do odbiorcy, a treść pokrywa się z art. 13 RODO?
Prawo dostępu jest bardzo istotnym uprawnieniem jednostki. Zasoby używane w toku realizacji operacji przetwarzania czy też rozwiązania, które oceniasz w ramach DPIA, powinny już w fazie projektowania uwzględniać możliwość realizacji prawa dostępu do danych, w tym przekazania kopii danych.
Podobnie jak powyżej, osoba, której dane dotyczą, powinna móc bezproblemowo realizować swoje prawa, w tym prawo do sprostowania danych. W jaki sposób można dane sprostować? Czy projektowane rozwiązanie umożliwia samodzielne poprawienie danych?
Na tym etapie już powinniśmy wiedzieć, czy nasze rozwiązanie zezwala na eksport danych "w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego".
Zastanów się, w jaki sposób zapewnisz, aby dane były usuwane. Czy wykorzystywane systemy umożliwiają usuwanie danych? Czy to usunięcie jest skuteczne? Czy przewidujesz sytuacje, kiedy dane nie będą mogły być usunięte (np. z racji obowiązku prawnego z racji obowiązku prawnego ich dalszego przechowywania).
Zgodnie z definicją z art. 4 pkt 3 RODO „ograniczenie przetwarzania” to oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania, co z kolei zgodnie z art. 18 ust. 2 RODO będzie się sprowadzało do ograniczenia przetwarzania jedynie do przechowywania danych, chyba że dysponujemy zgodą osoby na inne czynności przetwarzania, potrzebujemy danych do ustalenia, dochodzenia, obrony roszczeń lub przetwarzanie nakazuje nam obowiązek prawny. W praktyce należy zatem rozważyć, czy wykorzystywane systemy zezwalają nam na oznaczenie danych jako dane, których przetwarzanie powinno być ograniczone do ich przechowywania.
3Zaangażowane zainteresowanych stron
Jeśli IOD został wyznaczony, administrator ma obowiązek konsultowania z nim DPIA. Fakt konsultacji powinien być udokumentowany w ramach DPIA (do tego służy niniejsza rubryka). Grupa Robocza art. 29 w Wytycznych dotyczących inspektorów ochrony danych („DPO”) (WP 243 rev.01) wskazuje na następujące kwestie, które mogą podlegać konsultacjom:\n1) konieczność przeprowadzenia oceny skutków dla ochrony danych;\n2) metoda, jaką należy zastosować przy przeprowadzaniu oceny skutków dla ochrony danych;\n3) ustalenie, czy ocena skutków dla ochrony danych powinna zostać przeprowadzona wewnątrz przedsiębiorstwa, czy też zlecona podmiotowi zewnętrznemu;\n4) ustalenie, jakie gwarancje (uwzględniając środki techniczne i organizacyjne) należy zastosować w celu ograniczenia wszelkiego rodzaju zagrożeń dla praw i interesów osób, których dane dotyczą;\n5) ustalenie, czy ocena skutków dla ochrony danych została przeprowadzona w prawidłowy sposób i czy jej wyniki (wnioski dotyczące tego, czy należy kontynuować przetwarzanie danych, oraz jakie zabezpieczenia należy zastosować) są zgodne z przepisami RODO.
W celu oceny zagrożenia niezbędna jest jego precyzyjna identyfikacja. W kontekście danej kategorii zagrożeń zastanów się, jakie sytuacje, zdarzenia, które mogą powodować zmaterializowanie się ryzyka dla praw i wolności osób, których dane dotyczą, mogą mieć miejsce w procesie? Weź pod uwagę ustalenia poczynione w ramach systematycznego opisu operacji przetwarzania i niezgodności stwierdzone podczas analizy niezbędności i proporcjonalności przetwarzania. Posłuż się doświadczeniem organizacji, np. jakie zdarzenia miały już miejsce, jakie zostały zidentyfikowane w ramach ogólnej analizy ryzyka lub audytów. Możesz również wziąć pod uwagę informacje zewnętrzne: raporty, opracowania, decyzje organów nadzorczych. Weź pod uwagę charakter, zakres, kontekst i cele przetwarzania (zob. motyw 76 RODO), tj. w szczególności, jakie dane będą przetwarzane, przy pomocy jakich środków, jakich czynności przetwarzania, jakie zasady przetwarzania materializują się w przetwarzaniu. Przykładem podatności może być: brak poinformowania osób, których dane dotyczą, kradzież nośników danych spowodowana brakiem kontroli dostępu, brak świadomości pracowników, przetwarzanie danych w państwach trzecich, brak zasad retencji danych.
4Identyfikowanie zagrożeń
Zagrożenia
?
Zagrożenie nr 1
Zagrożenie nr 2
5Identyfikowanie podatności
W celu oceny zagrożenia niezbędna jest jego precyzyjna identyfikacja. W kontekście danej kategorii zagrożeń zastanów się, jakie sytuacje, zdarzenia, które mogą powodować zmaterializowanie się ryzyka dla praw i wolności osób, których dane dotyczą, mogą mieć miejsce w procesie? Weź pod uwagę ustalenia poczynione w ramach systematycznego opisu operacji przetwarzania i niezgodności stwierdzone podczas analizy niezbędności i proporcjonalności przetwarzania. Posłuż się doświadczeniem organizacji, np. jakie zdarzenia miały już miejsce, jakie zostały zidentyfikowane w ramach ogólnej analizy ryzyka lub audytów. Możesz również wziąć pod uwagę informacje zewnętrzne: raporty, opracowania, decyzje organów nadzorczych. Weź pod uwagę charakter, zakres, kontekst i cele przetwarzania (zob. motyw 76 RODO), tj. w szczególności, jakie dane będą przetwarzane, przy pomocy jakich środków, jakich czynności przetwarzania, jakie zasady przetwarzania materializują się w przetwarzaniu. Przykładem podatności może być: brak poinformowania osób, których dane dotyczą, kradzież nośników danych spowodowana brakiem kontroli dostępu, brak świadomości pracowników, przetwarzanie danych w państwach trzecich, brak zasad retencji danych.
Wskaż podatność mogącą doprowadzić do materializacji zagrożenia nr 1
W celu oceny zagrożenia niezbędna jest jego precyzyjna identyfikacja. W kontekście danej kategorii zagrożeń zastanów się, jakie sytuacje, zdarzenia, które mogą powodować zmaterializowanie się ryzyka dla praw i wolności osób, których dane dotyczą, mogą mieć miejsce w procesie? Weź pod uwagę ustalenia poczynione w ramach systematycznego opisu operacji przetwarzania i niezgodności stwierdzone podczas analizy niezbędności i proporcjonalności przetwarzania. Posłuż się doświadczeniem organizacji, np. jakie zdarzenia miały już miejsce, jakie zostały zidentyfikowane w ramach ogólnej analizy ryzyka lub audytów. Możesz również wziąć pod uwagę informacje zewnętrzne: raporty, opracowania, decyzje organów nadzorczych. Weź pod uwagę charakter, zakres, kontekst i cele przetwarzania (zob. motyw 76 RODO), tj. w szczególności, jakie dane będą przetwarzane, przy pomocy jakich środków, jakich czynności przetwarzania, jakie zasady przetwarzania materializują się w przetwarzaniu. Przykładem podatności może być: brak poinformowania osób, których dane dotyczą, kradzież nośników danych spowodowana brakiem kontroli dostępu, brak świadomości pracowników, przetwarzanie danych w państwach trzecich, brak zasad retencji danych.
6Identyfikowanie skutków
Jakie widzisz zagrożenia dla praw i wolności wynikające z zidentyfikowanych podatności? Pamiętaj, że prawa i wolności należy rozumieć szeroko - nie tylko jako prawo do prywatności i ochrony danych, ale także inne prawa podstawowe. Np. brak odpowiednich zabezpieczeń czy brak świadomości pracowników może doprowadzić do bezpowrotnej utraty danych, co z kolei może prowadzić do frustracji, szkody majątkowej, a brak obowiązku informacyjnego może prowadzić do niezrozumienia, dlaczego dane są przetwarzane przez daną organizację, i co za tym idzie – stratę czasu związaną z identyfikacją administratora. Brak polityki retencji będzie mógł skutkować zdenerwowaniem z powodu faktu, że dane są jeszcze przetwarzane.
Wskaż skutki dla osób, których dane dotyczą dla zagrożenia nr 1
Jakie widzisz zagrożenia dla praw i wolności wynikające z zidentyfikowanych podatności? Pamiętaj, że prawa i wolności należy rozumieć szeroko - nie tylko jako prawo do prywatności i ochrony danych, ale także inne prawa podstawowe. Np. brak odpowiednich zabezpieczeń czy brak świadomości pracowników może doprowadzić do bezpowrotnej utraty danych, co z kolei może prowadzić do frustracji, szkody majątkowej, a brak obowiązku informacyjnego może prowadzić do niezrozumienia, dlaczego dane są przetwarzane przez daną organizację, i co za tym idzie – stratę czasu związaną z identyfikacją administratora. Brak polityki retencji będzie mógł skutkować zdenerwowaniem z powodu faktu, że dane są jeszcze przetwarzane.
7Szacowanie ryzyka

LEGENDA

W oparciu o poniższą legendę oszacuj prawdopodobieństwo zagrożenia:

(1) niskie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania nie wydaje się możliwe dla wybranych źródeł ryzyka;

(2) średnie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się trudne dla wybranych źródeł ryzyka;

(3) wysokie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się możliwe dla wybranych źródeł ryzyka;

(4) bardzo wysokie prawdopodobieństwo – zmaterializowanie się zagrożenia w związku z wykorzystaniem podatności zasobów biorących udział w operacjach przetwarzania wydaje się nadzwyczaj łatwe dla wybranych źródeł ryzyka.

W oparciu o poniższą legendę oszacuj skutki zagrożenia dla praw i wolności osób których dane dotyczą:

(1) niskie skutki – osoby, których dane dotyczą nie zostaną dotknięte, albo spotkają je nieliczne drobne niedogodności, które pokonają bez najmniejszych problemów (czas potrzebny na ponowne wprowadzenie danych, zniecierpliwienie, irytacja itp.);

(2) średnie skutki – osoby, których dane dotyczą mogą napotkać znaczące niedogodności, które będą w stanie pokonać mimo pewnych trudności (dodatkowe koszty, odmowa dostępu do usług biznesowych, strach, niezrozumienie, stres, drobne fizyczne urazy itp.);

(3) wysokie skutki – osoby, których dane dotyczą mogą napotkać znaczące następstwa, które powinny być w stanie pokonać, ale z poważnymi trudnościami (oszustwa finansowe, wpis na listę nieobsługiwanych klientów w bankach, szkody majątkowe, utrata zatrudnienia, pozwy, pogorszony stan zdrowia itp.).

(4) bardzo wysokie skutki – osoby, których dane dotyczą mogą napotkać znaczące, a nawet nieodwracalne następstwa, których mogą nie pokonać (finansowe tarapaty takie jak niespłacony dług lub niezdolność do pracy, długotrwałe psychologiczne lub fizyczne urazy, śmierć itp.).

Zagrożenie
?
Brak danych
Prawdopodobieństwo
Wybierz
Skutki
Wybierz
Ryzyko
Niskie
8Planowany sposób reakcji na ryzyko
Należy wybrać jedną z opcji:
a) Akceptacja – zaakceptowanie ryzyka w przypadku nieprzekroczenia progu akceptowalności (tj. ryzyko pozostaje niższe niż wysokie),
b) Obniżanie – minimalizacja ryzyka przy pomocy środków technicznych lub organizacyjnych (wskazane działanie jest obligatoryjne w przypadku przekroczenia progu akceptowalności ryzyka),
c) Transfer – dzielenie odpowiedzialności za zarządzanie ryzykiem z innym podmiotem (np. zlecenie firmie zewnętrznej wdrożenia zabezpieczeń lub powierzenie danych osobowych do przetwarzania na zewnętrznych, lepiej zabezpieczonych serwerach),
d) Unikanie – unikanie działań lub warunków, które powodują powstanie określonych ryzyk (np. zaniechanie wykorzystania danego zasobu do przetwarzania danych osobowych).
W zależności od wyniku analizy i wyboru sposobu postępowania z ryzykiem, należy opisać konkretne działania mające zminimalizować ryzyko, tj. wybór środków technicznych i organizacyjnych adresujących stwierdzone podatności. W celu oceny skuteczności nowych środków należy ponownie przeanalizować ryzyko; jeśli nie uda się jego zmitygowanie i pozostanie ono na poziomie wysokim, należy skorzystać z instytucji uprzednich konsultacji (art. 36 RODO) bądź zarzucić planowane przetwarzanie.

Wskaż, w jaki sposób zamierzasz postępować ze zidentyfikowanym ryzykiem

Zagrożenie
?
Brak danych
Brak danych
Ryzyko
Niskie
Niskie
Sposób postępowania z ryzykiem
Wybierz sposób po...
Wybierz sposób po...
Rekomendacje

Zastrzeżenie

Aby uzyskać miarodajny wynik oceny skutków dla ochrony danych należy wypełnić wszystkie pola formularza. Każdy aspekt dotyczący zgodności oraz bezpieczeństwa analizowanego powinien być analizowany indywidualnie, w szczególności w zakresie wykonania obowiązków określonych w art. 35 RODO. Z tego względu niniejszy formularz może stanowić co najwyżej narzędzie pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z formularza na własną odpowiedzialność. ODO 24 sp. z o.o. nie ponosi odpowiedzialności względem jakiegokolwiek podmiotu lub osoby, za jakiekolwiek skutki pośrednie lub bezpośrednie korzystania z formularza, w szczególności w postaci szkód, obowiązku zapłaty odszkodowania lub zadośćuczynienia, nałożonych kar administracyjnych, utraty korzyści lub innych negatywnych konsekwencji.

PIOD Icon

Formularz DPIA

Co to jest DPIA w kontekście RODO?

DPIA, czyli ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment) w kontekście RODO to proces, który musi zostać przeprowadzony przez administratora danych osobowych, gdy planowane jest przetwarzanie danych, które może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

Jak przeprowadzić DPIA zgodnie z RODO?
  • Opis planowanych operacji przetwarzania – to przede wszystkim odpowiedzi na pytania, w jakim celu, zakresie i czasie będą przetwarzane dane osobowe. Jeśli dla analizowanego procesu prowadzisz już rejestr czynności przetwarzania, znasz odpowiedzi na te pytania.
  • Ocena konieczności i proporcjonalności – to odpowiedź na pytanie, czy zakres przetwarzanych danych, zakres osób, których dane przetwarzamy, a także zakres odbiorców którym te dane udostępniamy, jest niezbędny z punktu widzenia celów i podstaw prawnych przetwarzania.
  • Środki planowane w celu wykazania zgodności – opisujemy przez wskazanie zabezpieczeń organizacyjnych i technicznych, a także rekomendacji dotyczących usunięcia wykrytych niezgodności.
  • Ocena ryzyka naruszenia praw i wolności osób, których dane dotyczą, obejmuje wskazanie:

- jakie naruszenie może wystąpić, - z czego wynika możliwość wystąpienia zagrożenia (jakie są podatności), - jakie są możliwe skutki, - jaka jest waga zagrożenia, - jakie jest prawdopodobieństwo naruszenia, - jaki jest poziom ryzyka (jest to wynik mnożenia wagi i prawdopodobieństwa), - jakie są rekomendacje (jak zminimalizować ryzyko).

Jeśli ryzyko jest wysokie oraz nie jesteśmy w stanie go zminimalizować, to musimy skonsultować się z Prezesem UODO (art. 36 RODO). Ryzyko jest wysokie, jeśli przekracza obiektywnie ustalony próg akceptowalności.

  • Środki planowane w celu wyeliminowania ryzyka – ustala się na podstawie rekomendacji wydanych w poprzednim kroku. Realizując je, najczęściej niwelujemy podatności, z których wynika możliwość wystąpienia zagrożenia.

Przykład: Planuje się weryfikować informacje dostarczane przez kandydatów na etapie rozmów kwalifikacyjnych. Kandydaci zapraszani na rozmowy będą proszeni o zabranie ze sobą dyplomów i certyfikatów.

  • Dokumentacja – DPIA obejmuje zapis czynności podejmowanych w ramach DPIA, jak również dowody audytowe, czyli np. kopie dokumentów potwierdzających prawdziwość ustaleń.
  • Monitorowanie i przegląd – DPIA należy dokonywać zawsze, gdy występuje możliwość zmiany ryzyka naruszenia praw lub wolności osób fizycznych. W ramach dobrych praktyk, oceny skutków dla ochrony danych należy dokonywać raz w roku.
Kiedy jest wymagane przeprowadzenie DPIA na gruncie RODO?

Przeprowadzenie DPIA na gruncie RODO jest wymagane w określonych sytuacjach, które mogą wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych. Oto niektóre z kluczowych sytuacji, w których DPIA jest wymagana:

  • Systematyczna i kompleksowa ocena osób, których dane dotyczą: W przypadku zautomatyzowanego przetwarzania danych, w tym profilowania, które służy do oceny czynników osobowych i ma znaczący wpływ na osoby fizyczne, tak jak podejmowanie zautomatyzowanych decyzji o skutkach prawnych.
  • Przetwarzanie na dużą skalę danych osobowych szczególnej kategorii: W przypadku przetwarzania np. danych dotyczących zdrowia, orientacji seksualnej, przekonań religijnych, danych biometrycznych czy genetycznych.
  • Systematyczne monitorowanie (na dużą skalę) miejsc dostępnych publicznie: Dla przykładu wykorzystanie kamer monitoringu w miejscach publicznych na dużą skalę.
  • Wykaz organu nadzorczego: Właściwy organ nadzorczy może także określić wykaz rodzajów przetwarzania, które wymagają DPIA w danym państwie członkowskim.
  • Spełnienie co najmniej 2 kryteriów WP248: Grupa Robocza Art. 29 (obecnie EROD) wyznaczyła 9 kryteriów (kryteria WP248), które mają pomóc ocenić ryzyko. Spełnienie co najmniej 2 z tych kryteriów zazwyczaj będzie wiązało się z obowiązkiem przeprowadzenia DPIA.
Jak często powinienem przeprowadzać DPIA a zgodnie z RODO?

DPIA, podobnie jak analiza ryzyka, powinna być przeprowadzana regularnie, niemniej nie ma konkretnego harmonogramu, który określa, jak często należy przeprowadzać DPIA, ponieważ będzie to zależało od zmian w operacjach przetwarzania, specyfiki organizacji, rodzajów danych, które przetwarza, i sektora, w którym działa.

W każdym razie DPIA należy przeprowadzić przed rozpoczęciem przetwarzania, z którym może się wiązać wysokie ryzyko.

Jakie są konsekwencje nieprzeprowadzenia DPIA na gruncie RODO?

Nieprzeprowadzenie DPIA tam, gdzie jest to wymagane przez RODO, będzie stanowić naruszenie RODO.

Dalszymi konsekwencjami wynikającymi z naruszenia RODO mogą być m.in.: naruszenie praw osób, których dane dotyczą; kary finansowe, uszczerbek na reputacji firmy, koszty obsługi prawnej związanej z postępowaniami administracyjnymi i sądowymi

Czy małe firmy również muszą przeprowadzać DPIA zgodnie z RODO?

Tak, wymagania RODO odnoszą się do wszystkich organizacji przetwarzających dane osobowe obywateli Unii Europejskiej, niezależnie od ich wielkości. To oznacza, że małe firmy muszą również przeprowadzać DPIA w sytuacjach tego wymagających, a więc jeśli przetwarzanie danych, w którym biorą udział, może wiązać się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.

Jakie narzędzia mogę wykorzystać do przeprowadzenia DPIA na gruncie RODO?

Do przeprowadzenia DPIA na gruncie RODO można wykorzystać różne narzędzia. Wybór konkretnego narzędzia będzie zależał od wielu czynników, takich jak specyfika organizacji, rodzaj przetwarzanych danych i związanych z nimi ryzyk.

Przykładem narzędzia może być arkusz kalkulacyjny (np. w programie Excel), , ale możliwe jest również skorzystanie z dedykowanych narzędzi do DPIA, które mogą pomóc w systematycznym przeprowadzaniu i dokumentowaniu tego procesu.

Kto powinien przeprowadzić DPIA na gruncie RODO w mojej organizacji?

DPIA powinna być przeprowadzana przez osoby odpowiedzialne za ochronę danych w Twojej organizacji. Oto przykłady różnych osób, które mogą być zaangażowane w ten proces:

  • Inspektor ochrony danych (IOD): Zgodnie z art. 35 ust. 2 RODO, administrator konsultuje się z inspektorem ochrony danych, jeśli został wyznaczony. Do zadań IOD należy udzielanie zaleceń co do DPIA i monitorowania jego wykonania
  • Kierownictwo: Często wymagane jest zaangażowanie najwyższego kierownictwa, zwłaszcza jeśli DPIA ryzyka może wpływać na strategiczne decyzje dotyczące przetwarzania danych.
  • Zespół ds. Bezpieczeństwa i Ochrony Danych: Specjaliści od bezpieczeństwa i ochrony danych mają niezbędną wiedzę i umiejętności, aby pomóc w DPIA.
  • Prawnicy/Zespół Prawny: Eksperci prawni mogą dostarczyć niezbędnej wiedzy na temat zgodności z prawem i wymogów regulacyjnych.
  • Dostawcy i Podwykonawcy: Jeśli przetwarzanie danych jest przekazywane dostawcom zewnętrznym, mogą oni również być zaangażowani w proces DPIA, aby zapewnić pełne zrozumienie ryzyka i środków bezpieczeństwa.

Firmy mogą zdecydować się na zewnętrzne wsparcie, takie jak outsourcing RODO, aby pomóc w przeprowadzeniu analizy ryzyka, w szczególności, jeśli nie mają odpowiednich zasobów lub specjalistycznej wiedzy technicznej.

Jak mogę ocenić skuteczność przeprowadzonej DPIA na gruncie RODO?

Skuteczność DPIA można weryfikować poprzez wiele działań:

  • Przestrzeganie wytycznych i ram oceny: Należy upewnić się, że DPIA została przeprowadzona zgodnie z wytycznymi i ramami określonymi przez organ nadzorczy oraz że zastosowano standardy branżowe tam, gdzie to możliwe.
  • Ocena środków zaradczych: Należy sprawdzić, czy zalecane środki zaradcze zostały wdrożone i czy są skuteczne w zmniejszaniu zidentyfikowanych ryzyk. Można to zrobić przeprowadzając regularne audyty i testy.
  • Konsultacja z personelem: Warto przeprowadzić konsultację z personelem, w tym z Inspektorem Ochrony Danych (IOD), zespołem prawnym, działem IT i innymi kluczowymi działami, aby zrozumieć ich perspektywę na skuteczność DPIA.
  • Analiza skarg i zgłoszeń: Należy monitorować wszelkie skargi i zgłoszenia od osób, których dane dotyczą, aby zrozumieć, czy występują jakiekolwiek problemy związane z przetwarzaniem danych, które mogłyby wskazywać na nieodpowiednią skuteczność DPIA.
  • Regularna aktualizacja: Środowisko regulacyjne i technologiczne się zmienia, więc regularna aktualizacja DPIA może pomóc w utrzymaniu jej skuteczności.
  • Dokumentacja: Konieczne jest utrzymanie kompletnej i szczegółowej dokumentacji DPIA, w tym zidentyfikowanych ryzyk, środków zaradczych, konsultacji i decyzji. Dokumenty te będą stanowić dowód zgodności w razie kontroli przez organ nadzorczy.
  • Audyty: Przeprowadzanie regularnych wewnętrznych i zewnętrznych audytów może dostarczyć niezależnej oceny skuteczności DPIA.

Ocena skuteczności DPIA powinna być procesem ciągłym, a nie jednorazowym działaniem. Regularne przeglądy i aktualizacje są kluczem do utrzymania skutecznego procesu.

Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń e-learningowych RODO
Administratorem Twoich danych jest ODO 24 sp. z o. o.
Formularz DPIA – ocena skutków dla ochrony danych | ODO 24