DPIA – dokonywanie oceny skutków dla ochrony danych – wykaz UODO

Jakiś czas temu GIODO, a później Urząd Ochrony Danych Osobowych przygotował wykaz rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny skutków planowanych operacji dla ochrony danych osobowych (DPIA).

Wykaz możecie znaleźć tutaj: https://uodo.gov.pl/pl/123/212.

Dla mnie już wówczas wydawał się co najmniej zbyt ogólny, rodzący poważne wątpliwości. Co więcej, wykaz sprawia wrażenie „jedynie słusznego”, co biorąc pod uwagę postanowienia RODO – nie powinno mieć miejsca.

Niedawno tematem zajęła się Europejska Rada Ochrony Danych (EROD - następca słynnej Grupy Roboczej Art. 29). Ogólne wnioski EROD wskazują na brak przejrzystości w sformułowaniu ww. wykazu. Zdanie, które dobrze odzwierciedla wnioski EROD to: „transparency is key for data controllers and data processors.” EROD wypowiedziała się krytycznie co do sformułowania niektórych punktów wykazu takich jak te dotyczące danych biometrycznych, genetycznych, danych o lokalizacji.

Ponadto EROD wskazała, że katalog taki nie może być zamknięty. W wykazie proponowanym przez UODO powinno być wyraźne zaznaczenie, że te czynności są przykładowe.

Wersję angielską opinii EROD znajdziecie tutaj: https://edpb.europa.eu/sites/edpb/files/files/file1/2018-09-25-opinion_2018_art._64_pl_sas_dpia_list_en.pdf.

Zainteresowanych zachęcam do przeczytania całości.

Jeżeli nie wiesz, jak przeprowadzić DPiA w swojej firmie - zacznij od opracowania planu działania, określenia celów przetwarzania (po co? dlaczego?) i wykonania analizy ryzyka.

Spodobał Ci się artykuł – polub, udostępnij, zostaw komentarz. Będzie mi bardzo miło!

Do napisania :)