Ocena skutków dla ochrony danych osobowych, 19 grudnia 2018 r.
W praktyce wielu administratorów ma jednak problem z ustaleniem, czy w konkretnej sytuacji powinni przeprowadzać taką ocenę. Pojawiają się też wątpliwości co do tego, w jaki sposób jej dokonywać, aby określić realną skalę ryzyka, która umożliwi administratorowi podejmowanie odpowiednich działań mających na celu zminimalizowanie zagrożeń.
Wyjaśnieniu tych wątpliwości służyło szkolenie zorganizowane 19 grudnia 2018 r. przez Urząd Ochrony Danych Osobowych (UODO). Przygotowano je z myślą o inspektorach ochrony danych (IOD), gdyż w zatrudniających ich podmiotach pełnią oni bardzo ważną rolę. Są bowiem ekspertami, którzy doradzają administratorom w podejmowaniu ostatecznych decyzji związanych z przetwarzaniem danych i dbają o to, by odbywało się ono zgodnie z przepisami ogólnego rozporządzenia o ochronie danych (RODO).
Bardzo ważny instrument
Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, otwierając szkolenie podkreśliła, jak ważna jest właściwa realizacja oceny skutków dla ochrony danych.
– To bardzo ważny instrument – powiedziała. – Pozwala on opisywać procesy przetwarzania danych osobowych w organizacji, a jednocześnie ocenić ich konieczność oraz proporcjonalność, a także ryzyko, jakie dany rodzaj przetwarzania rodzi dla praw i wolności osób fizycznych. Gdy jest ono wysokie, administrator powinien zastosować środki zaradcze, które je zminimalizują – wskazała.
Rola EROD w zapewnieniu spójnego stosowania RODO
Pomocne w podejmowaniu decyzji co do konieczności przeprowadzania oceny skutków dla ochrony danych są zarówno dotyczące tego zagadnienia Wytyczne Grupy Roboczej Art. 29 (WP 248), jak i przygotowywane przez krajowe organy nadzorcze wykazy rodzajów operacji przetwarzania podlegające wymogowi dokonania oceny skutków dla ochrony danych, które są oceniane przez Europejską Radę Ochrony Danych (EROD). Taka procedura przygotowywania tych dokumentów umożliwia, na co wskazywał Piotr Drobek, dyrektor Zespołu Analiz i Strategii w Urzędzie Ochrony Danych Osobowych, zapewnienie jednolitego podejścia do stosowania przepisów RODO we wszystkich państwach członkowskich UE.
Jak rozumieć podejście oparte na ryzku
Podczas szkolenia Michał Mazur, p.o. zastępcy dyrektora Zespołu Współpracy z Administratorami Danych, wyjaśnił istotę zasady podejścia opartego na ryzyku oraz jej rolę w procesie budowania i wykazywania zgodności z przepisami rozporządzenia. Omówił też przykładowe metodologie, które mogą pomóc inspektorom ochrony danych w procesie udzielania zaleceń dla administratora.
Jednocześnie podkreślał, że ocena skutków dla ochrony danych jako „kwalifikowana” postać analizy ryzyka powinna zawierać minimalny katalog informacji wskazany w art. 35 ust. 7 RODO. Systematyczny opis operacji przetwarzania, ocena proporcjonalności, ocena ryzyka oraz środki bezpieczeństwa to kluczowe elementy, które wymagają udokumentowania. Szeroko omówione podczas szkolenia są również przedmiotem poradników przygotowanych przez Prezesa UODO i dostępnych na stronie internetowej Urzędu.
Konsultacje z organem nadzorczym
Wspomniana ocena skutków dla ochrony danych, m.in. w przypadku zaistnienia wysokiego ryzyka dla praw i wolności osób, których dane dotyczą, którego administrator nie jest w stanie zminimalizować, może skutkować koniecznością skonsultowania planowanej operacji przetwarzania z Prezesem UODO. Szkolenie było okazją, by omówić działania, jakie należy podjąć przed wystąpieniem z wnioskiem o uprzednie konsultacje, a także procedurę, rolę organu nadzorczego i zakres działań, jakie może podjąć Prezes UODO.
Transmisja on-line
Szkolenie UODO dla IOD po raz kolejny zorganizowane w nowej, problemowej formule, cieszyło się bardzo dużym zainteresowaniem - zgłosiło się na nie blisko 500 osób. Stąd decyzja, by nie tylko transmitować je on-line, ale wkrótce w całości udostępnić również w Internecie.