Fajgielski Paweł, Ocena skutków dla ochrony danych
Ocena skutków dla ochrony danych
Ocena skutków dla ochrony danych
Ocena skutków dla ochrony danych
Ocena skutków dla ochrony danych to nowy mechanizm wprowadzony przepisami unijnego rozporządzenia o ochronie danych. Obowiązek jej przeprowadzenia nie ma charakteru powszechnego, gdyż, zgodnie z art. 35 ust. 1 r.o.d.o., dotyczy administratorów, u których przetwarzanie danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena skutków powinna odnosić się do skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Prawodawca unijny wskazał przykładowe przypadki, w których należy przeprowadzić ocenę skutków dla ochrony danych, nałożył na organy nadzorcze obowiązek określenia i podania do publicznej wiadomości wykazu rodzajów operacji, w odniesieniu do których przeprowadzenie oceny jest obligatoryjne, jak również przewidział możliwość wskazania wykazu operacji niepodlegających wymogowi dokonania oceny skutków dla ochrony danych. Ponadto prawodawca unijny określił (w art. 35 ust. 7 r.o.d.o.) minimalne wymogi co do zawartości oceny skutków dla ochrony danych. Obowiązek przeprowadzenia oceny został wyłączony w przypadku, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, a oceny skutków dokonano na etapie prac legislacyjnych. W przepisie art. 35 ust. 11 r.o.d.o. na administratora został nałożony również obowiązek dokonywania przeglądu dla sprawdzenia, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych. Jeżeli ocena skutków dla ochrony danych wykaże, że przetwarzanie powodowałoby wysokie ryzyko, a administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator (działając zgodnie z art. 36 r.o.d.o.) powinien skonsultować się z organem nadzorczym.
Procedury prawne pokazane w formie interaktywnych schematów, dzięki którym sprawdzisz, jak krok po kroku przebiega postępowanie w danej sprawie.
Dowiedz się więcej o LEX Navigator.
Zamów bezpłatną prezentację zdalną , podczas której przedstawimy Ci to narzędzie.
Krok: zamiar przetwarzania danych osobowych
Przed przystąpieniem do przetwarzania danych administrator powinien sprawdzić, czy dany rodzaj przetwarzania nie wymaga przeprowadzenia oceny skutków dla ochrony danych.
Krok: sprawdzenie, czy ocena skutków dla ochrony danych została przeprowadzona w ramach prac legislacyjnych
Administrator nie ma obowiązku przeprowadzania oceny skutków dla ochrony danych w przypadku, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (tzn. opiera się na podstawie wskazanej w art. 6 ust. 1 lit. c r.o.d.o.) lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (tzn. opiera się na podstawie wskazanej w art. 6 ust. 1 lit. e r.o.d.o.), ma podstawę prawną, a oceny skutków dokonano na etapie prac legislacyjnych. W tym przypadku dokonanie oceny przez prawodawcę zwalnia administratora z tego obowiązku.