Metodologia oceny skutków dla ochrony danych

METODOLOGIA

Art. 35 RODO ust. 1 RODO wskazuje, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków dla ochrony danych (DPIA). Art. 35 ust. 4 RODO nałożył na Urząd ochrony Danych Osobowych obowiązek ustanowienia i podania do publicznej wiadomości wykazu rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Prezes UODO w Komunikacie z 12.10.2020r. wskazał rodzaje operacji przetwarzania wymagających oceny skutków. Administrator oceniając, czy dany rodzaj operacji będzie podlegał obowiązkowi przeprowadzenia DPIA, musi wziąć pod uwagę, wskazane na wstępie przesłanki. Jeżeli jakakolwiek z nich zostanie spełniona, dokonanie DPIA jest obligatoryjne.

I. ETAP 1: Ustalenie stanu faktycznego – analiza wymogu przeprowadzenia oceny skutków dla ochrony danych

Lp. Dane do identyfikacji procesu Opis przetwarzania

Opis czynności przetwarzania Opis procesu, w ramach, którego będzie dochodziło przetwarzanie danych

Podstawa prawna przetwarzania

Jan Kowalski

Firma "XYZ Sp. z o.o."

Umowa o powierzenie przetwarzania danych osobowych z dnia 2023-05-15

System CRM

Planowane przepływy danych

II. ETAP 2 Opis celu, charakteru, zakresu i kontekstu przetwarzania danych

Cel czynności przetwarzania Należy opisać:• Co administrator chce osiągnąć przez planowanie przetwarzanie• Jaki jest skutek przetwarzania – wpływ na osoby fizyczne• Jakie są korzyści z przetwarzania dla administratora i osób fizycznych, których dotyczy przetwarzanie

Charakter przetwarzania Należy opisać:• Sposób gromadzenia, wykorzystywania, przechowywania i usuwania danych• Źródło danych• Czy dane będą komuś udostępniane

Zakres przetwarzania: Należy opisać:• Jakie dane są przetwarzane (zwykłe, szczególnej kategorii)?• Ile danych będzie gromadzonych i wykorzystywanych?• Jak często?• 500 osób dotyczy przetwarzanie?• 5 lat retencji danych• Polska obszar przetwarzania danych

Kontekst przetwarzania: Należy opisać:• Kontekst wewnętrzny – obejmujący czynniki wewnętrzne podmiotu, firmy, jej organizacji• Kontekst zewnętrzny – obejmujący czynniki zewnętrzne, w których działa podmiot, firma• Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym, w jakim funkcjonuje firma i przetwarzane są dane osobowe. Należy określić takie elementy jak: RODO, Ustawa o ochronie danych osobowych Polska obszar przetwarzania danych (EOG lub poza EOG), inwentaryzacja aktywów dla dokładności oraz skuteczności procesu szacowania ryzyka.• Czy operacje w ramach przetwarzania danych są wymienione w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z 12.10.2020r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony

III. ETAP 3 - Identyfikacja i ocena ryzyka w celu określenia konieczności przeprowadzenia oceny skutków dla ochrony danych osobowych

Etap ten jest niezbędny do określenia czy wprowadzana operacja przetwarzania danych wymaga dokonania oceny skutków.

METODA OCENY RYZYKA POTENCJALNEGO ORAZ SZCZĄTKOWEGO

PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA

ISTOTNOŚĆ (WAGA) ZAGROŻENIA

pomijalne niskie średnie wysokie krytyczne

(1) (2) (3) (4) (5)

pomijalna (1) 1 2 3 4 5

niska (2) 2 4 6 8 10

średnia (3) 3 6 9 12 15

wysoka (4) 4 8 12 16 20

krytyczna (5) 5 10 15 20 25

STOPIEŃ RYZYKA niski (1-7) średni (8-14) wysoki (15-25)

Poziom ryzyka wyznaczono według wzoru: R = P x S gdzie: R –poziom ryzyka P – wartość przypisana prawdopodobieństwu materializacji zagrożenia S – wartość skutków

Analiza ryzyka

Źródło ryzyka i Wpływ zdarzenia na atrybuty bezpieczeństwa informacji Wpływ na osobę fizyczną

charakter potencjalnego wpływu na osoby Prawdopodobieństwo Skutek - dotkliwość dla osób fizycznych Poziom ryzyka Identyfikacja negatywnych skutków zdarzenia

Identyfikacja środków redukujących ryzyko

Ryzyko Środki zaradzenia ryzyku Wpływ na ryzyko Ryzyko szczątkowe Środek zatwierdzony

Ocena czy ryzyko zostało: Wskazanie poziomu ryzyka: TAK

• wyeliminowane • niski

• zredukowane • średni

• zaakceptowane • wysoki

Ocena czy ryzyko zostało: Wskazanie poziomu ryzyka: NIE

• wyeliminowane • niski

• zredukowane • średni

• zaakceptowane • wysoki

Wynik wstępnej weryfikacji procesu przetwarzania danych osobowych: Przeprowadzenie oceny skutków dla ochrony (jest/nie jest*) wymagane. *W przypadku odpowiedzi twierdzącej należy przejść do kolejnego etapu, który wymaga zawarcia pozostałych elementów wskazanych w art. 35 ust. 7 RODO tj. określenie niezbędności oraz proporcjonalności danych w stosunku do celów, weryfikację środków przyczyniające się do zachowania praw osób, których dane dotyczą. Pozostałe elementy z art. 35 ust. 7 RODO wyczerpuje ocena z etapów I – III.

IV. ETAP 4 Ocena skutków

Na tym etapie należy zacząć ocenę skutków od opisu procesu konsultacji wewnętrznych i zewnętrznych

Opinie wewnętrzne np.: Inspektor Ochrony Danych, Kierownik Działu IT, Specjalista ds. bezpieczeństwa

Opinie klientów

V. ETAP 5 Określenie niezbędności oraz proporcjonalności danych art. 35 ust. 7 lit b RODO

Należy wymienić operacje, w których zidentyfikowano wysokie ryzyko lub operacje co, do których odniósł się Prezes UODO w swoim komunikacie nawet jeżeli nie zidentyfikowano wysokiego ryzyka. Należy jednak mieć na uwadze, że katalog ten jest otwarty i administrator, co do zasady powinien przeprowadzić analizę ryzyka dla wszystkich operacji, w których wystąpi domniemanie wysokiego ryzyka dla praw i wolności osoby fizycznej.

Środki, których podjęcie jest planowane w celu zapewnienia przestrzegania RODO

Pytanie Odpowiedź

Czy cele przetwarzania są konkretne, wyraźne i prawnie uzasadnione (art. 5 ust. 1 lit. b)? Art. 6 ust 1 lit. a RODO

Czy Administrator zbiera dane wyłącznie w zakresie niezbędnym do określonego celu (minimalizacja danych) (art. 5 ust. 1 lit. c)?

Czy dane są przechowywane wyłącznie przez czas niezbędny do ich przetwarzania (art. 5 ust. 1 lit. e) Za pomocą procedur i systemów informatycznych

Czy Administrator weryfikuje podmiot przetwarzający w sposób zapewniający, że procesor będzie przetwarzał powierzone dane zgodnie z przepisami RODO? Weryfikacja audytem bezpieczeństwa

Środki przyczyniające się do zachowania praw osób, których dane dotyczą

Pytanie Odpowiedź

Sposób 1

Sposób 2

Sposób 3

Sposób 4

Sposób 5

Sposób 6

Sposób 7

Sposób 8

Sposób 9

VI. ETAP 6 Podsumowanie oceny skutków

Wnioski i akceptacja oceny skutków dla ochrony danych

Anna Nowak, Dyrektor, 2024-01-20,

Podpis

Zagadnienie Uwagi

Zatwierdzenie środków redukujących ryzyko Zatwierdzone środki należy uwzględnić w procesie planowania przetwarzania danych osobowych oraz wskazać 1 rok i Jan Kowalski

Zatwierdzenie ryzyka szczątkowego W przypadku wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą i próby jego minimalizacji nie prowadzą do jego obniżenia - przed rozpoczęciem czynności przetwarzania należy skonsultować się z organem nadzorczym

Pozytywna IOD powinien doradzać w sprawie zgodności, środków z tabeli nr 6 oraz wyrazić opinię czy przetwarzanie jest możliwe

Brak uwag Uzasadnienie decyzji o odrzuceniu opinii IOD

Decyzja uzasadniona Jeżeli decyzja ADO odbiega od poglądów poszczególnych ekspertów, należy ją uzasadnić

Zgoda IOD i ADO powinni dokonywać przeglądu oceny skutków