Na czym polega ocena skutków przetwarzania danych?
18.04.2018
RODO obliguje administratora danych do dokonania – w określonych sytuacjach – oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych przed rozpoczęciem przetwarzania.
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania będzie musiał dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
Ocena będzie musiała zawierać co najmniej:
-
systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
-
ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
-
ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
-
środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Administrator będzie odpowiedzialny za zapewnienie przeprowadzenia oceny skutków dla ochrony danych. Ocenę skutków dla ochrony danych może przeprowadzić inny podmiot, zarówno z danej jednostki, jak i spoza niej, jednak ostateczna odpowiedzialność za wykonanie zadania spoczywa na administratorze.
Jak wskazuje GIODO na swojej stronie internetowej, ocenę skutków planowanych operacji będzie musiał robić pracodawca, w sytuacjach, gdy będzie:
-
systematycznie monitorował działania swoich pracowników, m.in. ich stanowiska pracy i ich aktywność w Internecie,
-
gdy korzystanie z poczty elektronicznej, aplikacji i kart dostępowych będzie monitorowane,
-
stosowane będą systemy monitorowania czasu pracy oraz przepływu informacji w wykorzystywanych przez pracowników narzędziach pracy (np. poczcie elektronicznej, Internecie),
-
gdy stosowane będzie przetwarzanie danych biometrycznych pracowników w celu identyfikacji lub weryfikacji osoby w systemach kontroli dostępu np. wejścia do określonych obszarów, pomieszczeń,
-
gdy będzie miało miejsce przetwarzanie danych spoza zbioru określonego w Kodeksie pracy na podstawie zgody pracownika,
-
gdy u danego pracodawcy stosowane są (lub będą) systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem),
-
gdy dochodzi do stosowania urządzeń wyposażonych w różnego rodzaju interfejsy (głośnik, mikrofon, kamera) oraz oprogramowanie i system łączności umożliwiające przekazywanie danych poprzez sieci telekomunikacyjne.
-
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dziennik Urzędowy Unii Europejskiej L 119/1.
/WiedzaiPraktyka
/wip