10 Paź

Wykaz procesów przetwarzania, dla których musi być przeprowadzana ocena skutków (DPIA)

O ocenie skutków dla ochrony danych pisałam już wcześniej (Ocena skutków przetwarzania według RODO ) jednakże w artykule skupiałam się na nowych procesach przetwarzania, które ze względu na swój charakter wiążą się z wysokim ryzykiem naruszenia poufności. Pod koniec sierpnia w Dzienniku Urzędowym ukazał się Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz jest konsekwencją art. 35 ust. 4 RODO: Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1. Ponieważ RODO wymaga spójności wewnątrz UE w zakresie zasad przetwarzania danych Organ nadzorczy przekazuje te wykazy Europejskiej Radzie Ochrony Danych, o której mowa w art. 68. W zeszłym tygodniu ukazała się opinia Rady dotycząca polskiego wykazy, zgodnie z którą Prezes UODO ma 14 dni na zaktualizowanie wykazu. Na co zwróciła uwagę Rada?

Polski organ nadzoru w swoim wykazie zupełnie pominął kwestię biometryki, danych genetycznych, o danych lokalizacyjnych napisał trochę na około. Zdaniem Rady monitorowanie pracowników także będzie wymagało DPIA (jestem ciekawa, czy nie pociągnie to za sobą kolejnej zmiany w Kodeksie Pracy, który obecnie reguluje zasady wykorzystania monitoringu w miejscu pracy). Zdaniem Rady sam wykaz też jest mocno nieprecyzyjny i wymaga poprawienia (to jest korzystna zmiana z punktu widzenia administratorów danych, którzy już od pewnego czasu mieli problemy z odpowiedzią na pytania, czy pozycje z wykazu ich dotyczą, czy nie – opisy są dość nieprecyzyjne, a ich interpretacja może być zbyt subiektywna). Zwrócono także uwagę, że wykaz operacji wymagających oceny skutków, momentami bywa rozbieżny z wytycznymi Grupy Roboczej art. 29. Osobiście zwróciłam uwagę na moim zdaniem zupełnie nie jasny dla sporej części zapis: Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29). Po pierwsze podano angielską nazwę Grupy Roboczej art. 29 (WP 29), po drugie – konia z rzędem dla osoby, która wie, gdzie znaleźć tę opinię i do której z opinii odnosi się ten komentarz. Przeciętny administrator danych, zgłupieje czytając ten zapis.

Podsumowując do końca przyszłego tygodnia powinien zostać opublikowany nowy wykaz operacji przetwarzania podlegających obowiązkowi oceny skutków, więc warto z omówieniem jego zapisu, zaczekać do aktualizacji.


miniAutorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Kalendarz szkoleń z ochrony danych osobowych