GIODO podpowiada, kto powinien badać ryzyko

Iwona Jackowska
opublikowano: 28-03-2018, 22:00

Przetwarzanie danych osobowych na dużą skalę może wymagać oceny jego skutków i zgłoszenia organowi nadzorczemu.

Przedsiębiorcy mogą już zapoznać się z propozycją wykazu rodzajów przetwarzania danych osobowych, które powinni ocenić pod kątem wpływu wykorzystania takich informacji na ich ochronę. Organ nadzorujący przestrzeganie przepisów w tej dziedzinie właśnie przekazał listę do publicznej wiadomości (jest dostępna na: www.giodo.gov.pl) i zaprasza zainteresowanych do konsultacji tego dokumentu.

Generalny Inspektor Ochrony Danych Osobowych (GIODO) przygotował ten wykaz, zanim jeszcze przyjdzie czas na stosowanie w praktyce unijnego rozporządzenia (RODO). Ma ono obowiązywać od 25 maja tego roku, a jego art. 35 ust. 1 wymaga od administratorów danych, aby przeprowadzali wspomnianą ocenę, jeżeli dany rodzaj przetwarzania — w szczególności z użyciem nowych technologii — ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Takiej analizy należy dokonać także w przypadku zmiany zagrożeń.

Z kolejnego przepisu — art. 36 RODO — wynika, że w razie oceny wskazującej na wysokie ryzyko przetwarzania, gdyby administrator nie zastosował sposobów jego zminimalizowania, powinien porozumieć się z organem nadzorczym, którym od 25 maja będzie prezes Urzędu Ochrony Danych Osobowych. GIODO chce wesprzeć zainteresowanych w przygotowaniu się do tego nowego obowiązku i zachęca do konsultacji ekspertów z różnych sektorów i środowisk: prawników, informatyków, ekspertów do spraw bezpieczeństwa, socjologów, etyków i wielu innych specjalistów.

— Konsultacje będziemy prowadzić do 30 kwietnia. Są one otwarte, aby podmioty przetwarzające dane mogły wyrazić swoje obawy, wątpliwości i zgłosić uwagi — mówi dr Edyta Bielak- -Jomaa, generalny inspektor.

Jednocześnie przyznaje, że podmiot, który nie stwierdzi istnienia u niego nadmiernego ryzyka dla ochrony danych, nie musi zgłaszać tego organowi nadzorczemu. Powinien jednak liczyć się z tym, że w razie kontroli inspektor sprawdzi, czy przedsiębiorca faktycznie ocenił skutki prowadzonych operacji dla ochrony pozyskanych informacji. Na zaproponowanej przez GIODO liście znajduje się 10 rodzajów (i kryteriów) przetwarzania, dla których ocena powinna być przeprowadzona. To np.profilowanie, w tym m.in. użytkowników portali społecznościowych i innych aplikacji w celach wysyłania niechcianej korespondencji czy dla identyfikowania preferencji zakupowych klientów, a także zautomatyzowane podejmowanie decyzji (np. przy wykorzystaniu systemów monitoringu). Inne pozycje z wykazu dotyczą przetwarzania danych na dużą skalę, innowacyjnego wykorzystywania lub stosowania rozwiązań technologicznych lub organizacyjnych (w tym systemów zdalnego opomiarowania, rozwiązania umożliwiające profilowanie osób lub grupy osób czy urządzeń wyposażonych w różnego rodzaju interfejsy, jak głośnik, mikrofon, kamera) oraz transgranicznego przekazywania danych poza UE. Jak informuje GIODO, w poddanym dyskusji dokumencie uwzględniono doświadczenia organu z prowadzonych przez niego kontroli i postępowań oraz wytyczne Grupy Roboczej art. 29, która pracowała nad reformą. Inspektor rozważa ponadto przygotowanie listy rodzajów operacji przetwarzania, które nie wymagają od administratorów dokonania omawianej tu oceny. © Ⓟ

ZGŁOŚ OPINIĘ

GIODO czeka na uwagi pod adresem: dif@giodo.gov.pl

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu

Puls Biznesu

Inne / GIODO podpowiada, kto powinien badać ryzyko