Forum

Powrót DPIA w szkole wyższej

J.

Justyna .....

6

Witam, jak wygląda dokonywanie oceny skutków dla ochrony danych w szkołach wyższych?
Witam, jak wygląda dokonywanie oceny skutków dla ochrony danych w szkołach wyższych?
1
2018-04-05 08:39 1

Anna Żmijewska

Ekspert

Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

W art. 35 ust. 3 RODO wskazuje się jedynie przykładowo, że taka ocena jest wymagana w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Jak wskazuje się w wytycznych Grupy Roboczej Art. 29, ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO.

Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. GIODO przedstawił propozycję takiego wykazu – jest on dostępny tutaj: https://www.giodo.gov.pl/pl/1520281/10430. Obecnie wykaz jest poddawany konsultacjom a zatem nie jest jeszcze znany jego ostateczny kształt.

Proponuję zapoznać się z propozycję wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych zamieszczoną na stronie GIODO. Na podstawie tego wykazu każdy administrator musi się zastanowić, czy zachodzą u niego takie procesy i w związku z tym – czy analiza ryzyka będzie konieczna.

Zgodnie z art. 35 ust. 1 RODO, jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W art. 35 ust. 3 RODO wskazuje się jedynie przykładowo, że taka ocena jest wymagana w szczególności w przypadku: a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną; b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie. Jak wskazuje się w wytycznych Grupy Roboczej Art. 29, ocena skutków dla ochrony danych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO. Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. GIODO przedstawił propozycję takiego wykazu – jest on dostępny tutaj: https://www.giodo.gov.pl/pl/1520281/10430. Obecnie wykaz jest poddawany konsultacjom a zatem nie jest jeszcze znany jego ostateczny kształt. Proponuję zapoznać się z propozycję wykazu rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków dla ochrony danych zamieszczoną na stronie GIODO. Na podstawie tego wykazu każdy administrator musi się zastanowić, czy zachodzą u niego takie procesy i w związku z tym – czy analiza ryzyka będzie konieczna.
0
2018-04-05 10:54 0
Chcesz zobaczyć kontynuację tej dyskusji? Przyjdź na szkolenie i uzyskaj dostęp do EduStrefy