Wykaz procesów przetwarzania, dla których musi być przeprowadzana ocena skutków (DPIA)
O ocenie skutków dla ochrony danych pisałam już wcześniej (Ocena skutków przetwarzania według RODO ) jednakże w artykule skupiałam się na nowych procesach przetwarzania, które ze względu na swój charakter wiążą się z wysokim ryzykiem naruszenia poufności. Pod koniec sierpnia w Dzienniku Urzędowym ukazał się Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz jest konsekwencją art. 35 ust. 4 RODO: Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Ponieważ RODO wymaga spójności wewnątrz UE w zakresie zasad przetwarzania danych Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68. W zeszłym tygodniu ukazała się opinia Rady dotycząca polskiego wykazy, zgodnie z którą Prezes UODO ma 14 dni na zaktualizowanie wykazu. Na co zwróciła uwagę Rada?
Polski organ nadzoru w swoim wykazie zupełnie pominął kwestię biometryki, danych genetycznych, o danych lokalizacyjnych napisał trochę na około. Zdaniem Rady monitorowanie pracowników także będzie wymagało DPIA (jestem ciekawa, czy nie pociągnie to za sobą kolejnej zmiany w Kodeksie Pracy, który obecnie reguluje zasady wykorzystania monitoringu w miejscu pracy). Zdaniem Rady sam wykaz też jest mocno nieprecyzyjny i wymaga poprawienia (to jest korzystna zmiana z punktu widzenia administratorów danych, którzy już od pewnego czasu mieli problemy z odpowiedzią na pytania, czy pozycje z wykazu ich dotyczą, czy nie – opisy są dość nieprecyzyjne, a ich interpretacja może być zbyt subiektywna). Zwrócono także uwagę, że wykaz operacji wymagających oceny skutków, momentami bywa rozbieżny z wytycznymi Grupy Roboczej art. 29. Osobiście zwróciłam uwagę na moim zdaniem zupełnie nie jasny dla sporej części zapis: Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29). Po pierwsze podano angielską nazwę Grupy Roboczej art. 29 (WP 29), po drugie – konia z rzędem dla osoby, która wie, gdzie znaleźć tę opinię i do której z opinii odnosi się ten komentarz. Przeciętny administrator danych, zgłupieje czytając ten zapis.
Podsumowując do końca przyszłego tygodnia powinien zostać opublikowany nowy wykaz operacji przetwarzania podlegających obowiązkowi oceny skutków, więc warto z omówieniem jego zapisu, zaczekać do aktualizacji.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.