Kiedy należy wykonać ocenę skutków dla ochrony danych (DPIA)?
minut
wyświetleń
Przeprowadzenie oceny skutków dla ochrony danych jest nowym obowiązkiem, który ciąży na administratorze. Oceny skutków dokonujemy po przeprowadzeniu podstawowej analizy ryzyka, w przypadku stwierdzenia w danym procesie „wysokiego ryzyka naruszenia praw lub wolności osób fizycznych”. W Art. 35 ust. 3 RODO przedstawiono kilka przykładów, gdy operacja przetwarzania „może powodować wysokie ryzyko”, w szczególności w przypadku:
- systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
- przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
- systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Szczegółowe wytyczne dot. konieczności wykonania oceny skutków dla ochrony danych znajdują się w „Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony”.