OCENA SKUTKÓW DLA OCHRONY DANYCH ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej....
Transcript of OCENA SKUTKÓW DLA OCHRONY DANYCH ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej....
Generalny Inspektor
Ochrony Danych Osobowych
ul. Stawki 2, 00-193 Warszawa
www.giodo.gov.pl
OCENA SKUTKÓW DLA OCHRONY DANYCH
OSOBOWYCH
BIURO
GENERALNEGO INSPEKTORA OCHRONY
DANYCH OSOBOWYCH
23 lutego 2016 r. Warszawa
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 2
Definicja DPIA
Czemu ma służyć DPIA
Kiedy należy przeprowadzać DPIA
Co należy uwzględniać przeprowadzając DPIA
Jak przeprowadzać DPIA (Metodologia)
Kiedy wymagana jest konsultacja z organem
nadzorczym
PLAN Prezentacji
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 3
Ocena skutków ochrony danych -
definicja
Ocena skutków dla ochrony danych osobowych DPIA) - to
proces mający opisać przetwarzanie, ocenić niezbędność i
proporcjonalność przetwarzania oraz pomóc w zarządzaniu
ryzykiem naruszenia praw lub wolności osób fizycznych
wynikającym z przetwarzania danych osobowych.
Art. 35 RODO
Niedokonanie oceny skutków dla ochrony danych, gdy jest to
wymagane (artykuł 35 ust. 1 i 3) lub niewłaściwe jej wykonanie
(art. 35 ust. 2 i 7) a także niewłaściwe działania następcze (artykuł
36 ust. 3 lit. e), mogą skutkować nałożeniem kary pieniężnej w
wysokości do 10 milionów EURO.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 4
Czemu ma służyć DPIA i kiedy jest
wymagana?
Zgodnie z podejściem opartym na ryzyku - przeprowadzenie
DPIA ma służyć dogłębnej ocenie ryzyka na jakie narażone jest
przetwarzanie danych osobowych i wprowadzeniu środków
zaradczych ograniczających to ryzyko do akceptowalnego
poziomu, gdy przetwarzanie „z dużym prawdopodobieństwem
może powodować wysokie ryzyko naruszenia praw lub wolności
osób fizycznych”
Celem niniejszego dokumentu jest określenie kontekstu, kiedy DPIA jest
wymagane i wyjaśnienie istotnych w tym zakresie przepisów RODO, aby
pomóc administratorom w przestrzeganiu prawa i zapewnienia pewności
prawnej dla administratorów, którzy są zobowiązani do przeprowadzenia
DPIA.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 5
Art. 35 RODO wskazuje, że DPIA powinno być przeprowadzane
jeżeli dane przetwarzane są w szczególności z użyciem
nowych technologii i może powodować wysokie ryzyko
naruszenia praw lub wolności osób fizycznych. Ocena taka jest
wymagana w szczególności w przypadku: 1) systematycznej, kompleksowej oceny czynników osobowych
odnoszących się do osób fizycznych, która opiera się na
zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest
podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej
lub w podobny sposób znacząco wpływających na osobę fizyczną;
2) przetwarzania na dużą skalę szczególnych kategorii danych
osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych
dotyczących wyroków skazujących i naruszeń prawa, o czym mowa
w art. 10; lub
3) systematycznego monitorowania na dużą skalę miejsc dostępnych
publicznie.
Czemu ma służyć DPIA i kiedy jest
wymagana?
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 6
Czy istnieje duże
prawdopodobieństwo
spowodowania wysokiego
ryzyka?
(art. 35 ust 1, 3 i 4)
Konsultacje z DPO
(art. 35 ust. 2)
Monitorowanie realizacji
(art. 39 ust. 1 lit. c)
Kodeksy postępowania
(art. 35 ust. 8)
Zasięganie opinii osób,
których dane dotycza
(art. 35 ust 9)
Wyjątek?
(art.. 35 ust 5 i 10)
Szczątkowe wysokie
ryzyko?
(art. 36 ust. 1)
Przetwarzanie poddane
przeglądowi przez
administratora
(art. 35 ust 11)
Nie jest
potrzebna DPIA
DPIA
(art. 35 ust. 7)
Nie
Tak
Tak Nie
Nie Tak
Uprzednie
konsultacje Brak
uprzednich
konsultacji
Czemu ma służyć DPIA i kiedy jest
wymagana?
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 7
Celem wydanego przewodnika jest dążenie do spójnego
stosowania niniejszego rozporządzenia we wszystkich
krajach członkowskich poprzez ustalenie:
wspólnego dla UE wykazu operacji przetwarzania, dla których DPIA
jest obowiązkowa (artykuł 35 ust. 4);
wspólnego dla UE wykazu operacji przetwarzania, dla których DPIA
nie jest konieczna (artykuł 35 ust. 5);
wspólnych kryteriów dotyczących metodologii przeprowadzenia
DPIA (artykuł 35 ust. 7);
wspólnych kryteriów określenia, kiedy należy się konsultować z
organem nadzorczym (artykuł 36 ust. 1).
Czemu ma służyć DPIA i kiedy jest
wymagana?
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 8
10 przypadków, które stwarzają wysokie
ryzyko naruszenia ochrony danych
W wytycznych Grupa Art. 29 wskazuje 10 klategorii operacji
przetwarzania, które należy uznać za operacje wnoszące wysokie
ryzyko naruszenia praw i wolności. Do kategoeii tych zaliczono:
1) Ewaluację lub ocenę, w tym profilowanie i przewidywanie, szczególnie
„aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia,
osobistych preferencji lub zainteresowań, wiarygodności lub
zachowania, lokalizacji lub przemieszczania się osoby, której dane
dotyczą”. Bank oceniający zdolność kredytowa na podstawie analizy danych z BIK.
Poradnia biotechnologiczna oferująca testy genetyczne i ich ocenę
System e-learningowy, który na podstawie ilości czasu spędzonego nad
materiałami oraz wyników testu ocenia predyspozycje (zdolności) studenta.
2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne
lub podobne istotne skutki.
System odcinkowej kontroli prędkości, gdzie kamery rejestrują czas wjazdu na
dany odcinek i wyjazdu a następnie wyliczają średnią prędkość i przekazują
dane do wystawienia mandatu.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 9
10 przypadków, które stwarzają wysokie
ryzyko naruszenia ochrony danych
3) Systematyczne monitorowanie, tj. przetwarzanie wykorzystywane do
obserwacji, monitorowania i kontroli osób, których dane dotyczą, w
tym dane zbierane poprzez „systematyczne monitorowanie na dużą
skalę miejsc dostępnych publicznie”.
Rejestrowanie obrazu dla określonego miejsca, np. osób wchodzących i
wychodzących z restauracji, hotelu;
Rozpoznawanie osób z wykorzystaniem systemu rozpoznawania wizerunku i
rejestrowanie ich w bazie klientów (rozpoznanie może być wykonane bez
wiedzy osób ich dotyczących).
4) Dane wrażliwe, w tym dane obejmujące szczególne kategorie danych
określonych w artykule 9 i 10.
Rejestr dokumentacji medycznej prowadzony przez szpital;
Prywatny detektyw przechowujący dane dotyczące przestępców;
Przetwarzanie danych biometrycznych, np. system kontroli wejścia na stadion;
Dane dotyczące przeprowadzanych operacji finansowych;
Dane dotyczące lokalizacji.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 10
10 przypadków, które stwarzają wysokie
ryzyko naruszenia ochrony danych
5) Dane przetwarzane na dużą skalę, tj. dane, których:
a) liczba osób, których dane dotyczą – konkretna liczba albo procent
określonej grupy społeczeństwa;
b) zakres przetwarzanych danych osobowych;
c) okres, przez jaki dane są przetwarzane;
d) zakres geograficzny przetwarzania danych osobowych.
Rejestrowanie danych dotyczących zużycia energii przez liczniki inteligentne
z częstotliwością co 15 minut;
Przetwarzanie danych lokalizacyjnych w określonym przedziale czasu, np. w
godzinach pracy;
Przetwarzanie danych osób korzystających ze środków komunikacji
miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’;
Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach
prowadzonej działalności.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 11
10 przypadków, które stwarzają wysokie
ryzyko naruszenia ochrony danych
6) Dokonano porównania lub połączenia zestawów danych: na przykład
pochodzących z dwóch lub większej liczby operacji przetwarzania
prowadzonych w różnych celach i/lub przez różnych administratorów
danych w sposób, który wykracza poza racjonalne oczekiwania osoby,
której dane dotyczą.
Zastosowanie technologii BigData.
7) Dane dotyczące osób wymagających szczególnej opieki, tj. jeżeli
przetwarzanie tego rodzaju danych może wymagać DPIA ze względu
na zwiększony brak równowagi sił między osobą, której dane dotyczą,
a administratorem danych, co oznacza, że osoba może nie być w
stanie wyrazić zgody na przetwarzanie jej danych lub sprzeciwić się
takiemu przetwarzaniu.
Przetwarzanie danych pracowników, uczniów;
Przetwarzanie danych osobowych osób chorych psychicznie, osób
ubiegających się o azyl, pacjentów.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 12
10 przypadków, które stwarzają wysokie
ryzyko naruszenia ochrony danych
8) Innowacyjne wykorzystanie lub zastosowanie rozwiązań
technologicznych lub organizacyjnych.
Zastosowanie biometrii uniemożliwiającej zmiany wzorca biometrycznego w
przypadku utraty poufności (źródłą danej biometrycznej nie da się zmienić tak
jak hasła);
Zastosowanie biometrii wielomodalnej na przykład połączenie wykorzystania
odcisków palców i rozpoznawania twarzy do usprawnienia fizycznej kontroli
dostępu;
Zastosowanie tej samej metody biometrycznej w różnych systemach
uwierzytelniania (przyszłe konsekwencje łączenia danych z różnych źródeł);
Internet przedmiotów i usługi geolokalizacyjne (przetwarzanie fotografii z
metadanymi dotyczącymi lokalizacji).
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 13
10 przypadków, które stwarzają wysokie
ryzyko naruszenia ochrony danych
9) Transgraniczne przekazywanie danych poza Unię Europejską.
Koniecznośc sprawdzenia, czy przestrzegane sa prawa osoby do ochrony
danych i wolności.
10) Gdy przetwarzanie samo w sobie „uniemożliwia osobom, których
dane dotyczą, wykonywanie prawa lub korzystania z usługi lub
umowy” (artykuł 22 i motyw 91). Dotyczy to przetwarzania
prowadzonego w miejscu publicznym, którego przechodzący ludzie
nie mogą uniknąć, lub przetwarzania, którego celem jest
umożliwienie, zmiana lub odmowa dostępu osób, których dane
dotyczą, do usługi lub zawarcia umowy.
Monitorowanie otoczenia bankomatu, czy monitorowanie wejścia do urzędu;
Sprawdzanie przez bank klientów w bazie informacji kredytowej;
Sprawdzanie klientów w bazie informacji gospodarczej.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 14
Jak wymienione przypadki uwzględniać
przy wymaganiach przeprowadzenia
DPIA ?
Grupa Art. 29 co do zasady zaleca przeprowadzenia DPIA dla procesów
przetwarzania danych, w których występują jednocześnie co najmniej
dwa z wymienionych przypadków (kategorii przetwarzania danych).
Co nie oznacza, że mogą być sytuacje, w których spełnione jest tylko
jedno kryterium, ale przetwarzanie może tak istotnie wpływać na prawa i
wolności osób, których dane są przetwarzane, że ocenę taka należy
przeprowadzić (np. zastosowanie technologii blockchain do
potwierdzenia uzyskania zgody na przetwarzanie danych, czy
wprowadzania postów w portalach społecznościowych).
Nie wyklucza się również sytuacji odwrotnych tzn. spełnione są 2
kryteria, ale technologia jest sprawdzona i nie wnoszą one wysokiego
ryzyka w zakresie ochrony danych i wolności osób, których dane
dotyczą.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 15
Kiedy przeprowadzenia DPIA nie jest
wymagane ?
- przetwarzanie „z dużym prawdopodobieństwem nie spowoduje
wysokiego ryzyka naruszenia praw lub wolności osób fizycznych” (art.
35 ust. 1),
- charakter, zakres, kontekst i cele przetwarzania są bardzo podobne to
przetwarzania, dla którego została dokonana DPIA (art. 35 ust. 1),
- gdy operacja przetwarzania ma podstawę prawną w prawie UE lub
państwie członkowskiego i prawo reguluje określoną operację
przetwarzania uwzględniając DPIA (zgodnie ze standardami RODO,
DPIA w takich przypadkach jest wymagana w ramach ustanowienia tej
podstawy prawnej (artykuł 35 ust. 10);
- gdy przetwarzanie uwzględnione jest w opcjonalnym wykazie
(ustanowionym przez organ nadzorczy) operacji przetwarzania
niepodlegających wymogowi dokonania DPIA (art. 35 ust. 5).
Wytyczne wskazują, że DPIA nie jest wymagane, jeżeli:
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 16
Czy obowiązek przeprowadzenia DPIA
dotyczy operacji wprowadzonych przed
25 maja 2018 r. ?
GR Art. 29 zdecydowanie zaleca dokonanie DPIA dla operacji
przetwarzania już trwających przed 25 maja 208 r.
Ponadto, gdy zmienia się ryzyko wynikające z operacji przetwarzania,
administrator obowiązany jest dokonać przeglądu, by stwierdzić, czy
przetwarzanie odbywa się zgodnie z rozporządzeniem.
W ramach dobrych praktyk, DPIA należy nieustannie dokonywać dla
istniejących czynności przetwarzania. Jednak należy dokonać ponownej
oceny po 3 latach, być może wcześniej, w zależności od charakteru
przetwarzania i stopnia zmiany operacji przetwarzania lub ogólnych
okoliczności. Taka ocena jest również zalecana dla przetwarzania
danych, które było prowadzone przed 25 maja 2018 r. i w związku z tym
nie podlegało DPIA.
Wymóg dokonania DPIA dotyczy operacji przetwarzania
spełniających kryteria wskazane w artykule 35 i rozpoczętych po
tym, jak RODO zacznie mieć zastosowanie w dniu 25 maja 2018 r.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 17
Kiedy należy przeprowadzić DPIA ?
DPIA powinna zostać rozpoczęta tak wcześnie jak jest to praktyczne w
projektowaniu operacji przetwarzania danych, nawet jeśli niektóre
operacje przetwarzania będą wciąż nieznane.
Zalecane jest rozpoczęcia DPIA już na etapie tworzenia koncepcji
rozwiązania danego problemu (celu przetwarzania) – rekomendacje
wynikające z raportu powstałego w ramach projektu PIAF
zatytułowanego: „Recommendations for a privacy impact assessment
framework for the European Union” .
DPIA powinna zostać przeprowadzona „przed rozpoczęciem
przetwarzania” (artykuł 35 ust. 1, 35 ust. 10, motyw 90 i 93). Jest to
zgodne z ochroną danych w fazie projektowania oraz domyślną
ochroną danych (artykuł 25 i motyw 78).
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 18
Kto powinien przeprowadzać DPIA ?
Dokonując oceny skutków dla ochrony danych, administrator konsultuje
się z IOD, jeżeli został on wyznaczony (artykuł 35 ust. 2) i ta konsultacja,
jak również decyzja podjęta, powinna zostać udokumentowana w DPIA.
DPO powinien również monitorować wykonanie DPIA (artykuł 39 ust. 1
lit. c.) Dalsze wytyczne wskazane są w wytycznych Grupy Roboczej
dotyczących inspektora ochrony danych 16/EN WP 243.
Jeśli przetwarzanie danych dokonywane jest całkowicie albo częściowo
przez podmiot przetwarzający, podmiot ten powinien uczestniczyć w
przeprowadzeniu DPIA i udzielać niezbędnych informacji.
Administrator powinien „zasięgnąć opinii osób, których dane dotyczą, lub
ich przedstawicieli (artykuł 35 ust. 9) .
Administrator jest odpowiedzialny za zapewnienie przeprowadzenia
DPIA (artykuł 35 ust. 2). Przeprowadzenie DPIA może zostać
dokonane przez kogoś innego, wewnątrz albo na zewnątrz
organizacji, natomiast to administrator pozostaje ostatecznie
odpowiedzialny za to zadanie.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 19
Kto powinien przeprowadzać DPIA
i z kim powinien konsultować ?
− opinii dotyczących sposobu przetwarzania można szukać w różny
sposób (np. wewnętrzne lub zewnętrzne badania, formalne pytanie do
przedstawicieli pracowników lub związków zawodowych, itp;
− jeśli ostateczna decyzja administratora różni się od poglądów osób,
których dane dotyczą, powody wykonania albo niewykonania decyzji
powinny zostać udokumentowane;
− podmiot przetwarzający powinien również udokumentować
uzasadnienie, aby nie zasięgać opinii osób, których dane dotyczą, jeśli
uzna, że nie jest to właściwe;
− Jeżeli jednostki biznesowe zaproponują przeprowadzenie DPIA,
jednostki te powinny następnie dostarczyć wkład do DPIA i być
zaangażowane w proces walidacji;
− zaleca się zasięganie opinii niezależnych ekspertów różnych zawodów
(certyfikowani audytorzy, prawnicy, technicy, eksperci ds.
bezpieczeństwa, socjologowie, etycy itp.);
GR Art. 29 stoi na stanowisku, że:
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 20
W jaki sposób przeprowadzać DPIA ?
− „opis planowanych operacji przetwarzania i celów przetwarzania”;
− „ocenę, czy operacje przetwarzania są niezbędne oraz
proporcjonalne”;
− „ocenę ryzyka naruszenia praw lub wolności osób, których dane
dotyczą”;
− wskazać „środki planowane w celu:
RODO nie narzuca metodyki przeprowadzania DPIA. Określa
natomiast minimalny jego zakres DPIA (art. 35 ust. 7 i motywy 84 i 90).
W ramach DPIA należy wykonać:
- zaradzenia ryzyku,
- przestrzegania rozporządzenia”.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 21
W jaki sposób przeprowadzać DPIA ?
Opis przewidywanego
przetwarzania
Ocena niezbędności
i proporcjonalności
Środki przewidziane w celu zapewnienia
zgodności
Ocena ryzyka naruszenia praw
i wolności
Środki przewidziane w celu zaradzenia
ryzyku
Dokumentacja
Monitorowanie i przegląd
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 22
W jaki sposób przeprowadzać DPIA ?
RODO zapewnia elastyczność administratorom danych w określeniu
dokładnej struktury i formy DPIA, aby umożliwić dostosowanie do
istniejących praktyk zawodowych.
Wymaga się jednak, aby niezależnie od wybranej metodyki, DPIA
stanowiło realną oceną ryzyka, umożliwiającą administratorom
podejmowanie działań mających na celu ich rozwiązanie.
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 23
W jaki sposób przeprowadzać DPIA ?
Różne podejścia do przeprowadzenia DPIA
2. Środki kontroli
3. Ryzyko 4. Decyzja
1. Kontekst
Proces zarządzania ryzykiem w bezpieczeństwie
informacji (źródło: PN-ISO/IEC 27005) Proces zarządzania ryzykiem wg
metodologii CNIL
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 24
Zalecany zakres DPIA
GR Art. 29 proponuje następujące kryteria, które administratorzy
danych mogą wykorzystać do oceny, czy DPIA lub metodologia
przeprowadzania DPIA są wystarczająco obszerne, aby zapewnić
zgodność z RODO:
Zapewniony jest systematyczny opis planowanych operacji
przetwarzania (artykuł 35 ust. 7):
charakter, zakres, kontekst i cele przetwarzania są uwzględnione;
dokumentowane dane osobowe, odbiorcy oraz okres przechowywania
danych osobowych;
dostarczony jest funkcjonalny opis operacji przetwarzania;
zidentyfikowane są aktywa, na których opierają się dane osobowe (sprzęt,
oprogramowanie, sieci, ludzie, dokumenty papierowe lub papierowe kanały
transmisji);
uwzględnia się zgodność z zatwierdzonymi kodeksami postępowania;
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 25
Zalecany zakres DPIA
Ocena niezbędności i proporcjonalności (artykuł 35 ust. 7 lit. b):
Określono środki mające na celu spełnienie wymogów rozporządzenia (art.
35 ust. 7 lit. d) i motyw 90), biorąc pod uwagę:
Środki wpływające na niezbędność i proporcjonalność przetwarzania w
oparciu o:
konkretny, wyraźny i prawnie uzasadniony cel(e) (artykuł 5 ust. 1 lit. b);
zgodność przetwarzania z prawem (artykuł 6);
adekwatne, stosowne oraz ograniczone do tego, co niezbędne do
celów (artykuł 5 ust. 1 lit. c);
ograniczenie okresu przechowywania (artykuł 5 ust. 1 lit. e);
Środki przyczyniające się do praw osób, których dane dotyczą:
informacje udzielone osobie, której dane dotyczą (artykuł 12, 13 i 14);
prawo dostępu i przekazywania danych (artykuł 15 i 20);
prawo do sprostowania, usunięcia, ograniczenia przetwarzania,
sprzeciwu (artykuł 16-19 i 21);
odbiorcy;
podmioty przetwarzające (artykuł 28);
zabezpieczenia dotyczące przekazywania danych (Rozdział V);
uprzednie konsultacje (artykuł 36);
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 26
Zalecany zakres DPIA
Zarządzenie ryzykiem naruszenia praw lub wolności osób (artykuł 35 ust. 7):
Uwzględnienie źródła, charakteru, specyfiki i powagi tego ryzyka (porównaj
motyw 84); lub dokładniej, w odniesieniu do każdego ryzyka
(nieuprawnionego dostępu, niepożądanej modyfikacji i zniknięcia danych) z
punktu widzenia osób, których dane dotyczą:
Uwzględniono źródło ryzyka (motyw 90);
Potencjalne skutki dla praw lub wolności osób, których dane dotyczą, są
identyfikowane w przypadku nieuprawnionego dostępu, niepożądanej
modyfikacji i zniknięcia danych;
Zagrożenia, które mogłyby prowadzić do nieuprawnionego dostępu,
niepożądanej modyfikacji i zniknięcia danych;
Oszacowano prawdopodobieństwo i powagę tego ryzyka (motyw 90); ustalono środki planowane w celu zaradzenia ryzyku (artykuł 35 ust. 7 lit. d
i Motyw 90); zaangażowanie zainteresowanych stron:
zasięgnięto konsultacji DPO (artykuł 35 ust. 2);
zasięgnięto opinii osób, których dane dotyczą lub ich przedstawicieli
(artykuł 35 ust. 9);
www.giodo.gov.pl
ALK Warszawa dnia 9 czerwca 2017 * Biuro GIODO * Andrzej. Kaczmarek Slajd nr: 27
Kiedy, w jakich przypadkach DPIA
należy konsultować z organem
nadzorczym
Konsultacja jest wymagana, gdy administrator danych nie może znaleźć
wystarczających środków (tj. gdy ryzyko szczątkowe jest nadal wysokie).
Ponadto administrator będzie musiał skontaktować się z organem
nadzorczym w każdym przypadku, gdy prawo państwa członkowskiego
wymaga, aby administratorzy konsultowali się z organem nadzorczym
i/lub uzyskiwali jego uprzednią zgodę na przetwarzanie danych
osobowych przez administratora do celów wykonania zadania
realizowanego przez administratora w interesie publicznym, w tym
przetwarzania w związku z ochroną socjalną i zdrowiem publicznym
(artykuł 36 ust. 5)