Ocena Skutku (DPIA)

Czym jest ocena skutków dla ochrony danych (DPIA)

DPIA (Data Protection Impact Assessment) – ocena skutków dla ochrony danych to proces oceny sposobu przetwarzania danych osobowych przez organizację oraz jego wpływu na ochronę prywatności i prawa jednostek, których dane są przetwarzane. DPIA jest narzędziem stosowanym w ramach RODO w celu zidentyfikowania, zrozumienia i minimalizacji ryzyk związanych z przetwarzaniem danych, szczególnie w przypadkach, gdy przetwarzane dane mogą prowadzić do wysokiego ryzyka dla praw osób, których dane są przetwarzane.

Kiedy należy przeprowadzić ocenę skutków (DPIA)

To organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz typów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (DPIA). Wyznacznikiem czy należy przeprowadzić ocenę skutków jest Komunikat Prezesa Urzędu Ochrony Danych Osobowych - art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Całkowity wykaz przypadków i sytuacji wymagających przeprowadzenie oceny skutków stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych.

Ocena skutków dla ochrony danych (DPIA) powinna być przeprowadzona przez organizację, jeśli jej działania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (w szczególności z wykorzystaniem nowych technologii).

Przykładowe czynności wskazane przez Prezesa UODO, które wymagają przeprowadzenia oceny skutków dla ochrony danych:

  • ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (np. ocena zdolności kredytowej),
  • zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki, systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni,
  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29),
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu,
  • przetwarzanie danych genetycznych,
  • dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: • liczby osób, których dane są przetwarzane, • zakresu przetwarzania, • okresu przechowywania danych oraz • geograficznego zakresu przetwarzania,
  • przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł,
    przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi,
  • innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych,
  • gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy,
    przetwarzanie danych lokalizacyjnych.

Rola aplikacji GDPR Risk Tracker w ocenie skutków (DPIA)

W przypadku aplikacji GDPR Risk Tracker ocena skutków dla ochrony danych (DPIA) stanowi nieodłączną część analizy ryzyka i pozwala na weryfikację poprawności sposobu przetwarzania danych osobowych w zgodności z RODO. GDPR Risk Tracker, jako kompleksowe narzędzie do analizy ryzyka przeprowadza użytkownika przez cały proces tworzenia swojej analizy lub analiz, dla konkretnych procesów zachodzących w organizacji, którą użytkownik reprezentuje. Dzięki częściowemu podejściu do problemu ochrony danych osobowych podmioty korzystające z naszej aplikacji otrzymują pełny produkt do sprawdzania poprawności swoich działań i ich zgodności z szeroko rozumianym RODO.

Analiza ryzyka Rejestr Czynności Przetwarzania (RCP)