Portal bezpiecznego e-biznesu

Kontakt Twoje konto Szukaj
Aktualności Bezpieczny sklep Zagrożenia w sieci Wzory i generatory pism

Kilka słów na temat: RODO. Część 3

Prawo28 kwietnia 2018

Autor: Maksym Kuczyński

Kilka słów na temat: RODO. Część 3

Lexlab Bezpieczne regulaminy sklepów i serwisów internetowych Wycena usługi
Piko-sport.pl
Do 25 maja jest coraz bliżej, dlatego właśnie przechodzimy do kolejnego tematu bardzo dyskusyjnego jakim jest
ocena skutków dla ochrony danych i kiedy należy ją przeprowadzić.
Kilka słów na temat: RODO. Część 3

Podstawa prawna:

Art.35 RODO

1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

2. Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.

3. Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.


4. Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68.

5. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych.

6. Jeżeli wykazy, o których mowa w ust. 4 i 5, obejmują czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii, przed przyjęciem takich wykazów właściwy organ nadzorczy stosuje mechanizm spójności, o którym mowa w art. 63.

7. Ocena zawiera co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

8. Oceniając – w szczególności do celów oceny skutków dla ochrony danych – skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzający, uwzględnia się przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania, o których mowa w art. 40.

9. W stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

10. Ust. 1–7 nie mają zastosowania, jeżeli przetwarzanie na mocy art. 6 ust. 1 lit. c) lub e) ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej – chyba że państwa członkowskie uznają za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych.

11. W razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych.


Za nim jednak zaczniemy samą ocenę to Administrator danych i przetwarzający powinni ustalić co rozumieją przez odpowiednie środki ochrony danych, a ocena następuje dalej. Na czym polega tak naprawdę ocena skutków dla ochrony danych (data protection impast assessment – DPIA) i kiedy należy ją przeprowadzić?

Ocena skutków dla ochrony danych to proces opisujący przetwarzanie, ocenienie niezbędności i proporcjonalności przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikających z przetwarzania danych. Sama ocena ma na celu rozliczalność, która ma udowodnić, że administrator wykonał wszelkie możliwe czynności związane z zachowaniem odpowiednich środków bezpieczeństwa. Dzięki temu mamy pewność, że zapewniliśmy bezpieczeństwo osobom fizycznym, których dane są przetwarzane i wszystko jest wykonywane zgodnie z literą prawa.

W niektórych dziedzinach ocena skutków ochrony danych jest obowiązkowa, szczególnie jeżeli mówimy o: użyciu nowych technologii, ze względu na swój charakter, zakres, kontekst i cel z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Sytuacje, w których jest wymagana ocena – jeżeli dochodzi o :

  1. systematycznej, kompleksowej oceny czynników odnoszących się do osób fizycznych, która opiera się na zautomatyzowanie przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osób fizycznych lub w podobny sposób znacząco wpływają na osobę fizyczną.
  2. przetwarzanie na duża skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących, lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Wobec takich 3 sytuacji najczęściej wymagane będzie powoływanie Inspektora Ochrony Danych, o którym wspominaliśmy już wcześniej w poprzednich artykułach. Samo RODO wskazuje na kilka elementów, które muszą znaleźć się w ocenie skutków dla ochrony danych osobowych, a są one wymienione w art.35 pkt. 7 ( znajduje się również powyżej)


  1. Systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
  2. Ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
  3. Ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  4. Środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenie oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Sporządzenie oceny zaleca się stworzyć dla sytuacji gdyby trzeba było przedstawić ją dla organów nadzorczych.

Tak jak w poprzednim artykule zachęcamy do zadawania pytań i do dyskusji pod artykułem.

Źródła:

  1. Dr Paweł Litwiński ,Przewodnik po RODO dla małych i średnich przedsiębiorców. Ministerstwo Przedsiębiorczości i Technologii. Warszawa 2018 r.

Udostępnij artykuł

Maksym Kuczyński

Komentarze

‹ Poprzedni artykułZmiana regulaminu Facebooka dotycząca mowy nienawiści Następny artykuł ›Informowanie o cenie – plusy i minusy nowych przepisów
Informowanie o cenie – plusy i minusy nowych przepisów Formularz zwrotu – gdzie musisz go zamieścić? Marketing afiliacyjny w branży gier. Jak unikać typowych błędów?
Informowanie o cenie – plusy i minusy nowych przepisów
Formularz zwrotu – gdzie musisz go zamieścić?
Marketing afiliacyjny w branży gier. Jak unikać typowych błędów?

Newsletter

Bądź zawsze na bieżąco, czuj się bezpiecznie w sieci. Wcale nie spam. Zapisz się do Newslettera.

Kancelaria Prawna Regulamin sklepu internetowego Regulamin strony internetowej Umowa licencji
Bezpieczny sklep O programie Dołącz do programu Porady FAQ
Zagrożenia w sieci Szczegóły Oceń zagrożenie Bezpieczne zakupy
Wzory i generatory pism Niezbędne dokumenty Oferta LexLab

Adwokat Art. 178A KK Katowice

Legalniewsieci.pl © 2024. Realizacja: Bling SH. Kodowanie: weboski.

Legalman

Logowanie


Nie masz jeszcze konta?

Zachęcamy do założenia konta.
Rejestracja zajmie Ci tylko chwilę.
Zarejestruj się

Wyszukiwarka