Skip to content
RODO w firmie, wdrożenie, oferta, ochrona danych osobowych
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • COVID -19 a obowiązki RODO
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • +48 501 161 301
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • COVID -19 a obowiązki RODO
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • +48 501 161 301

Co to jest DPIA?

  • 15 kwietnia, 2020
Co to jest DPIA

DPIA (Data Protection Impact Assessment) czyli, ocena skutków dla ochrony danych jest to nowe narzędzie dla Administratorów danych osobowych oraz Podmiotów przetwarzających uregulowane w Rozporządzeniu o ochronie danych osobowych 1.

Głównym celem wprowadzenie DPIA było poprawienie przestrzegania Rozporządzenia RODO, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z art. 35 ust. 1 Rozporządzania o ochronie danych osobowych, jeżeli dany rodzaj przetwarzania:

  • w szczególności z użyciem nowych technologii;
  • ze względu na swój charakter, zakres, kontekst i cele;

z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Technicznie rzecz ujmując, DPIA jest narzędziem pomagającym budować procesy ochrony danych osobowych zgodnie z przepisami Rozporządzania o ochronie danych osobowych – RODO.

Zanim przeczytasz nasze opracowanie, zachęcamy do sprawdzenia czy Twoja organizacja jest przygotowana do procesu DPIA.


 CHECKLISTA DPIA:

  • czy przeprowadzam szkolenia uświadamiające moich pracowników o potrzebie przeprowadzenia DPIA?
  • nasze polityki, procedury, instrukcje zawierają odniesienie do DPIA?
  • wiemy, kiedy i dla jakich czynności przetwarzania należy przeprowadzić DPIA?
  • czy wdrożyliśmy proces DPIA np. wzór oceny skutków dla ochrony danych?

100 % odpowiedzi na tak – Brawo masz właściwie wdrożony proces DPIA w swojej organizacji
75 % odpowiedzi na tak – jeszcze czegoś Ci brakuje, ale jesteś już blisko, aby mieć pełen proces DPIA
50% i mniej odpowiedzi na tak – zdecydowanie musisz popracować nad wdrożeniem DPIA w swojej organizacji, aby zminimalizować ryzyko kary za naruszenie przepisów RODO.

Co należy uwzględnić, aby prawidłowo przeprowadzić DPIA?


Biorąc pod uwagę treść art. 35 Rozporządzenia RODO a w szczególności ust. 7 DPIA możemy przeprowadzić, uwzględniając następujące etapy:

  1. Opis planowanych operacji przetwarzania z uwzględnieniem celów przetwarzania (art. 35 ust. 1 Rozporządzania RODO).
  2. Ocena czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów.
  3. Przeprowadzenie oceny ryzyka naruszenia praw i wolności, osób, których dane dotyczą (podmiotów danych).
  4. Planowane środki w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
  5. Opracowanie oraz wdrożenie dokumentacji.
  6. Monitoring wdrożonych rozwiązań, dokonywanie przeglądów.

Kiedy należy przeprowadzić DPIA?


Rozporządzenie RODO z jednej strony wskazuje na sytuacje w jakich Administrator danych osobowych ma obowiązek przeprowadzenie DPIA a z drugiej strony zobowiązuje Organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych do przygotowania oraz opublikowania wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.

I tak, ocenę skutków dla ochrony danych osobowych należy przeprowadzić dla sytuacji, gdzie przetwarzania danych osobowych może prowadzić do wystąpienia wysokiego ryzyka, w szczególności w przypadku (art. 35 ust. 3 Rozporządzenia RODO):

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10; lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Wykaz czynności wymagających dokonania DPIA dostępny jest: Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. (data ogłoszenia 08 lipca 2019 r. )

Przykładowe czynności wykazane przez Prezesa Urzędu Ochrony Danych Osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych:

Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych
Media społecznościowe, firmy marketingowe, firmy headhunterskie
Banki, inne instytucje finansowe upoważnione do udzielania kredytów, instytucje pożyczkowe w procesie oceny zdolności kredytowej
Firmy ubezpieczeniowe – oferowanie zniżek związanych ze stylem życia (papierosy, alkohol, sporty ekstremalne, styl jazdy samochodem)
Firmy ubezpieczeniowe – np. korzystniejsze oferty ubezpieczeniowe lub kredytowe dla pracowników określonych grup, np. administracji publicznej, nauczycieli
Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki
Sklepy internetowe oferujące ceny promocyjne dla określonych grup klientów. Firmy obsługujące programy lojalnościowe (wspólnoty zakupowe)
Programy marketingowe zawierające elementy profilowania osób

Podstawowe obowiązki w związku z DPIA


Zgodnie z treścią art. 35 Rozporządzanie o ochronie danych osobowych, Administratora danych osobowych dokonując oceny skutków dla ochrony danych osobowych musi spełnić poniższe obowiązki:

  • Prawdopodobieństwo wysokiego ryzyka jako podstawa do przeprowadzenia DPIA;
  • Powiadomienie Inspektora ochrony danych – jeżeli został wyznaczony;
  • Uwzględnienie zatwierdzonych kodeksów postępowania, o których mowa w art. 40 Rozporządzania RODO;
  • Uwzględnienie opinii osób, których dane dotyczą lub ich przedstawicieli.

Konsultacje z Inspektorem ochrony danych – praktyczne wskazówki


Warto podkreślić, iż jednym z obowiązków Administratora danych osobowych jest konsultowanie z Inspektorem ochrony danych kwestii związanych z oceną skutków dla ochrony danych osobowych.
Grupa Robocza Art. 29 ds. Ochrony Danych w „Wytyczne dotyczące inspektorów ochrony danych (‘DPO’)”1 zaleca Administratorowi konsultowanie z Inspektorem ochrony danych m.in. następujące kwestie:

  • faktu, czy należy przeprowadzić ocenę skutków dla ochrony danych;
  • metodologii przeprowadzenia oceny skutków dla ochrony danych;
  • faktu, czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych czy też zlecić ją podmiotowi zewnętrznemu;
  • zabezpieczeń (w tym środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą;
  • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z wymogami ochrony danych (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować).

Jeśli administrator nie zgadza się z zaleceniami DPO, dokumentacja oceny skutków dla ochrony danych powinna zawierać pisemne uzasadnienie nieuwzględnienia tych zaleceń.

Kary RODO za nieprzestrzeganie art. 35 RODO


Za nieprzestrzeganie przepisów dotyczących oceny skutków dla ochrony danych może zostać nałożona administracyjna kara pieniężna w wysokości

  • do 10 000 000,00 EUR
  • a w przypadku przedsiębiorstw – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,

przy czym zastosowanie ma kwota wyższa.

1 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
2 https://uodo.gov.pl/data/filemanager_pl/15.pdf

Marta Ozga
prawnik, LL.M, specjalista w zakresie ochrony danych osobowych, właścicielka firm doradczych wspierających przedsiębiorców m.in. w kompleksowym wdrażaniu RODO, standardów bezpieczeństwa informacji na bazie norm ISO, członkini Wielkopolskiego Klubu Kapitału oraz mentor w programie Early Warning Europe.
Najnowsze posty
Polityka prywatności RODO
Polityka prywatności RODO
7 maja 2020
Umowa o poufności a RODO
Umowa o poufności NDA a RODO
7 maja 2020
Aktualna zgoda na przetwarzanie danych osobowych - zgody na przetwarzanie danych osobowych
Klauzula informacyjna
24 kwietnia 2020
Zgoda na przetwarzanie danych osobowych w celach marketingowych
Zgoda na przetwarzanie danych osobowych w celach marketingowych
21 kwietnia 2020
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty
Polityka prywatności RODO
7 maja 2020
Umowa o poufności NDA a RODO
7 maja 2020
Klauzula informacyjna
24 kwietnia 2020
Zgoda na przetwarzanie danych osobowych w celach marketingowych
21 kwietnia 2020
Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
21 kwietnia 2020
Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
21 kwietnia 2020
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • RODO – nasz obowiązek informacyjny
  • Blog
  • Kontakt
Menu
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • RODO – nasz obowiązek informacyjny
  • Blog
  • Kontakt
Linkedin
Nasze marki
© 2021 Wszelkie prawa są zastrzeżone, a właścicielem jest OZGA GROUP Sp. z o.o.
Strona przechowuje oraz uzyskuje dostęp do informacji już przechowywanej w urządzeniu użytkownika wykorzystując mechanizm plików Cookies. Akceptacja lub brak zgody na wykorzystywanie plików Cookies odbywa się za pomocą ustawień przeglądarki. Więcej informacji znajdziesz tutaj.
Akceptuję

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT