Ocena skutków dla ochrony danych osobowych

Ocena skutków dla ochrony danych osobowych dla rejestru umów zawartych przez jednostki sektora finansów publicznych

Zgodnie z zasadą privacy by design wprowadzenie nowego procesu przetwarzania powinno być realizowane w taki sposób, aby już w fazie modelowania tego procesu, czyli ustalania w jaki sposób będzie się odbywał, zapewnić właściwą i skuteczną ochronę danych osobowych (art. 25 RODO). Jeżeli analiza procesu przetwarzania wykaże, że może on wiązać się z wysokim ryzykiem naruszenia praw i wolności osób, należy także przeprowadzić ocenę skutków (art. 35 RODO). Poniższe pytania mają na celu wspieranie administratora danych w ocenie możliwości przetwarzania na ustalonych przez administratora zasadach. Stanowią także formalne udokumentowanie procesu podejmowania decyzji. Katalog pytań nie jest zamknięty.

I. Ocena legalności, adekwatności i celowości wprowadzenia procesu

1. Czy spełniony jest jeden z warunków legalizujących przetwarzanie, określonych w art. 6-10 RODO?

• TAK - Należy wskazać przesłankę legalizującą przetwarzanie danych wraz z uzasadnieniem jest spełnienia: 6 ust. 1 lit. c RODO - przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

• NIE - Wprowadzenie procesu będzie niezgodne z przepisami RODO.

2. Czy jest określony konkretny i rzeczywisty cel przetwarzania?

• TAK - Należy wskazać cel przetwarzania: Archiwizacja umów zawartych przez jednostkę.

• NIE - Każde przetwarzanie powinno być realizowane w konkretnym i określonym celu zgodnie z art. 5 RODO, bez określenia celu lub celów przetwarzania nie powinno się rozpoczynać przetwarzania danych.

3. Czy wprowadzanie danych do rejestru umów jest niezbędne do osiągnięcia wskazanego celu przetwarzania, tzn. czy nie można tego celu osiągnąć w inny sposób?

• TAK - Należy wskazać uzasadnienie niezbędności: Umożliwienie szybkiego dostępu do danych zawartych w umowach.

• Nie, ten cel można osiągnąć w inny sposób - Należy rozważyć wprowadzenie tej innej metody, szczególnie jeżeli jej wprowadzanie wiąże się z niższym ryzykiem naruszenia praw i wolności osób. Niezbędność jest istotnym czynnikiem oceny możliwości wprowadzenia nowego procesu przetwarzania.

4. Czy zostały zidentyfikowane ryzyka i zagrożenia związane z procesem przetwarzania?

• TAK - Należy wskazać ryzyka i zagrożenia: Utrata poufności danych, nieautoryzowany dostęp do danych.

• NIE - Należy określić ryzyka i zagrożenia. Jest to niezbędne do ustalenia technicznych i organizacyjnych środków ochrony przetwarzanych danych.

5. Czy zostały określone możliwe negatywne skutki dla praw i wolności osób, w związku z przetwarzaniem?

• TAK - Należy wskazać skutki: Utrata reputacji, dyskryminacja, kradzież tożsamości.

• NIE - Należy dokonać analizy możliwych skutków, przed przejściem do dalszej części oceny.

II. Analiza ryzyka

W pierwszej kolumnie należy wskazać zidentyfikowane ryzyka związane z procesem przetwarzania danych. W drugiej kolumnie należy określić prawdopodobieństwo materializacji tego ryzyka, w odniesieniu do obiektywnych przesłanek (np. czy ryzyko zmaterializowało się w przeszłości, czy u innych administratorów dochodziło do materializacji ryzyka, czy zostały wdrożone środki minimalizujące możliwość wystąpienia tego ryzyka). W trzeciej kolumnie ocenia się negatywny skutek materializacji ryzyka dla osoby, której dane dotyczą, tzn. jak bardzo jest on dotkliwy (należy wziąć pod uwagę nie tylko rodzaj skutku, ale także liczbę osób, których może dotyczyć, charakter informacji oraz kategorie osób, których dotyczy).

Proponowana skala do określenia P i DS: Niskie - 1. Średnie - 2. Wysokie - 3. Interpretacja wyniku Poziomu ryzyka Pr: Niski poziom ryzyka dla wyników Pr w przedziale 1-3. Średni poziom ryzyka dla wyników Pr w przedziale 4-6. Wysoki poziom ryzyka dla wyników Pr w przedziale 7-9

Ryzyko1 Prawdopodobieństwo Dotkliwość Ocena wystąpienia skutku dla poziomu ryzyka (P) osoby, której ryzyka dane dotyczą (Pr) Pr = P * DS Do rejestru umów będzie wprowadzany szeroki zakres danych 2 3 6 Przetwarzanie będą realizować Stażyści, które nie mają 1 2 2 upoważnienia we wskazanym zakresie, w szczególności Stażyści Osobom, których dane dotyczą nie zostanie przekazania 2 3 6 klauzula informacyjna, w szczególności w zakresie przetwarzania ich danych Osoby mające dostęp do danych wprowadzanych do 1 2 2 rejestru nie zostały zobligowane do zachowania poufności Pracownicy będą nieprawidłowo realizować żądania 1 3 3 osób, których dane dotyczą w zakresie sprzeciwu lub usunięcia danych

III. Ocena możliwości wprowadzenia czynności

Czy przetwarzanie w zaproponowany sposób może z dużym prawdopodobieństwem wiązać się z wysokim ryzykiem naruszenia praw i wolności osób?

• TAK - Należy dokonać oceny skutków oraz podjąć działania minimalizujące ryzyko. Jeżeli zminimalizowanie ryzyka jest niemożliwa, należy określić inny sposób realizowania procesu lub skonsultować się z UODO. • NIE - Należy przejść dalej

Czy zostały opracowane szczegółowe zasady prowadzenia rejestru umów oraz postępowania w zależności od rodzaju umowy?

• TAK - Należy opisać te zasady: Zasady prowadzenia rejestru umów zostały opisane w instrukcji nr 1/2024.

• NIE - Na etapie modelowania procesu przetwarzania oraz oceny jego konieczności niezbędne jest opracowanie szczegółowych zasad. Jeżeli w momencie dokonywania tej analizy zasady nie zostały opracowane, dalsza ocena tego procesu jest niemożliwa.

Czy opracowane zasady gwarantują poszanowanie prawa do prywatności osób, których dotyczą?

• TAK - Należy uzasadnić dlaczego: Zasady określają, kto ma dostęp do danych i w jakim celu dane są przetwarzane.

• NIE - Wprowadzanie szczególnych środków ochrony nie może zmniejszać standardów ochrony danych osobowych. Nie może także wiązać się z naruszeniem lub ograniczaniem praw i wolności osób. Należy opracować odpowiednie standardy.

Czy został jasno określony zakres danych oraz rodzaje umów, które mają być przez pracowników wprowadzane do rejestru?

• TAK - Należy uzasadnić dlaczego: Zakres danych jest określony w instrukcji nr 1/2024.

• NIE - Wprowadzanie szczególnych środków ochrony nie może zmniejszać standardów ochrony danych osobowych. Nie może także wiązać się z naruszeniem lub ograniczaniem praw i wolności osób. Należy opracować odpowiednie standardy.

Czy wprowadzanie danych do rejestru będzie miało dotyczyć dużej liczby osób lub szerokiego zakresu danych?

• TAK – ze względu na skalę przetwarzania należy wprowadzić adekwatne środki ochrony, dające odpowiednie gwarancje zapewnienia poufności. • NIE, można zastosować standardowe środki ochrony danych.

Czy przetwarzania będzie dokonywać wyznaczona osoba/zespół?

• TAK - Należy zweryfikować zakres upoważnienia i dokonać stosownej aktualizacji, a także zapewnić przeszkolenie w zakresie zasad wprowadzania danych do rejestru. • NIE – Do czasu aktualizacji upoważnienia i przeszkolenia niemożliwe będzie wprowadzania danych do rejestru.

Czy do systemu wprowadzania umów będą miały dostęp tylko i wyłącznie uprawnione osoby?

• TAK - Należy wskazać te osoby (np. stanowiskami): Pracownicy Działu Umów.

• NIE - Proces wymaga zmiany, tak aby ograniczyć dostęp do informacji tylko i wyłącznie do uprawnionego, określonego kręgu osób.

Czy każdy użytkownik będzie posiadać indywidualny login?

• TAK – Rozwiązanie jest zgodne z RODO. • NIE – W celu zapewnienia rozliczalności, użytkownicy muszą otrzymać indywidualne loginy. Do czasu przyznania loginów dane do rejestru nie powinny być wprowadzane.

Czy wobec osób, których dane będą przetwarzane zostaną zrealizowane obowiązki informacyjne?

• TAK - Należy wskazać sposób realizacji obowiązków informacyjnych: Klauzula informacyjna zostanie przekazana wraz z umową.

• NIE - Należy opracować klauzulę informacyjną oraz określić sposób realizowania obowiązków informacyjnych.

Czy zostały/zostaną zapewnione niezbędne i adekwatne do określonego poziomu ryzyka środki ochrony?

• TAK - Należy wskazać te środki: Szyfrowanie danych, kontrola dostępu.

• NIE - Należy określić adekwatne środki, a także to czy zostaną wdrożone przed rozpoczęciem procesu.

Czy jest możliwe zrealizowanie praw osób, których dane dotyczą?

• TAK - Należy wskazać, sposób postępowania w zależności od żądania: Procedura realizacji praw osób, których dane dotyczą, znajduje się w instrukcji nr 2/2024.

• NIE - Jeżeli zrealizowanie praw będzie niemożliwe, należy przemodelować proces przetwarzania lub zrezygnować z jego realizowania.

Oceny dokonano w dniu: 2024-03-15

Podpisy osób, które dokonały oceny: Jan Kowalski

Decyzja administratora danych w zakresie wprowadzenia rekomendacji, zmian w procesie i możliwości jego wprowadzenia: Rekomendacje zostały zaakceptowane i zostaną wdrożone.