Procedura oceny skutków dla ochrony danych osobowych

Procedura RODO dotycząca oceny skutków dla ochronyDanych Osobowych w Cybernetics Sp. z o.o.

I. Nadzór nad bezpieczeństwem przetwarzania i ocena skutków dla ochrony danych

1. W celu zapewnienia bezpieczeństwa Danych Osobowych Cybernetics Sp. z o.o. zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych, np.¹:

1) organizacja bezpieczeństwa informacji,

2) polityki bezpieczeństwa informacji,

3) bezpieczeństwo zasobów ludzkich,

4) zarządzanie aktywami,

5) kontrola dostępu,

6) kryptografia,

7) bezpieczeństwo fizyczne i środowiskowe,

8) bezpieczna eksploatacja,

9) bezpieczeństwo komunikacji,

10) pozyskiwanie, rozwój i utrzymanie systemów,

11) relacje z dostawcami,

12) zarządzanie incydentami związanymi z bezpieczeństwem informacji,

13) aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania,

14) zgodność.

2. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, Inspektor Ochrony Danych rekomenduje wdrożenie odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, z uwzględnieniem, że:

1) ryzyko jest scenariuszem opisującym zdarzenie i jego konsekwencje, oszacowanym pod względem powagi i prawdopodobieństwa ryzyka,

2) zarządzanie ryzykiem to skoordynowane działania mające na celu kierowanie Cybernetics Sp. z o.o. i kontrolowanie organizacji pod względem ryzyka,

3) prawa i wolności osób fizycznych dotyczy przede wszystkim prawa do ochrony danych i prywatności, ale może również obejmować inne prawa podstawowe, takie jak wolność słowa, wolność myśli, swoboda poruszania się, zakaz dyskryminacji, prawo do wolności, wolność sumienia i wolność religii.

3. Oceniając, czy stopień ryzyka jest odpowiedni, Inspektor Ochrony Danych uwzględnia m.in. ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

4. Jeżeli dany rodzaj przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, Inspektor Ochrony Danych przed rozpoczęciem tego przetwarzania w Cybernetics Sp. z o.o. dokonuje oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi ryzyka dla ochrony danych.

II. Ogólna ocena ryzyka

1. Ogólna ocena ryzyka ma na celu określenie, czy dana operacja przetwarzania powoduje wysokie ryzyko dla ochrony danych osobowych, a w konsekwencji czy wymagane jest przeprowadzenie Oceny Skutków dla Ochrony Danych Osobowych.

2. Przy dokonywaniu ogólnej oceny ryzyka Inspektor Ochrony Danych bierze pod uwagę w szczególności:

1) użycie przy przetwarzaniu nowych technologii,

2) charakter przetwarzania,

3) zakres przetwarzania,

4) kontekst przetwarzania.

3. Ogólną ocenę ryzyka wykonuje się:

1) za pomocą narzędzia udostępnionego przez Urząd Ochrony Danych Osobowych Narzędzie do Ogólnej Oceny Ryzyka, dostępnego tutaj: https://uodo.gov.pl/narzedzie,

2) za pomocą metodyki ogólnej oceny skutków zawartej w załączniku Nr 1.

4. W szczególnych, uzasadnionych powagą zagrożeń dla ochrony Danych Osobowych przypadkach Inspektor Ochrony Danych może uznać, że należy przeprowadzić DPIA dla czynności przetwarzania, mimo że nie wystąpiły dwa z powyższych czynników ryzyka.

5. Jeżeli dla określonych czynności przetwarzania wykonanie Oceny Skutków dla Ochrony Danych nie jest obowiązkowe, Inspektor Ochrony Danych uzyskuje potwierdzenie Administratora Bezpieczeństwa Informacji.

6. Prezes Zarządu może nakazać wykonanie Oceny Skutków dla dowolnej czynności przetwarzania.

III. Ocena Skutków dla Ochrony Danych – DPIA

1. Ocenę Skutków dla Ochrony Danych wykonuje się dla:

1) jednej operacji przetwarzania – np. dla jednej aplikacji, projektu,

2) wielu operacji przetwarzania – jeżeli są podobne pod względem charakteru, zakresu, kontekstu, celu i ryzyka, np. jeżeli operacja przetwarzania jest taka sama u wielu administratorów, gdy dochodzi do współadministrowania.

2. DPIA zawsze jest wymagana w przypadku:

1) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną,

2) przetwarzania na dużą skalę Danych Osobowych szczególnych kategorii lub Danych Osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa,

3) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie,

4) jeżeli czynność przetwarzania znajduje się w wykazie opublikowanym przez UODO⁸:

Rodzaje/kryteria dla Przykłady operacji/zakresu Potencjalne obszaryoperacji danych/okoliczności, w których może wystąpić wystąpienia/istniejące obszaryprzetwarzania, dla których wymagane jest wysokie ryzyko naruszenia zastosowańprzeprowadzenie oceny dla danego rodzajuoperacji przetwarzania

1. Przetwarzanie danych biometrycznych Systemy kontroli dostępu oparte na rozpoznawaniu twarzy Budynki biurowe

2. Profilowanie i automatyczne podejmowanie decyzji Automatyczna ocena zdolności kredytowej Banki

3. Monitorowanie lokalizacji Śledzenie pojazdów firmowych GPS Firmy transportowe

4. Przetwarzanie danych wrażliwych Dane medyczne pacjentów Szpitale

5. Przetwarzanie danych dzieci Portale edukacyjne dla dzieci Platformy e-learningowe

6. Big Data Analiza zachowań klientów w internecie Sklepy internetowe

7. Sztuczna inteligencja Systemy rekomendacyjne Portale społecznościowe

8. Internet rzeczy (IoT) Inteligentne domy Operatorzy telekomunikacyjni

9. Blockchain Kryptowaluty Giełdy kryptowalut

3. DPIA nie wykonuje się dla następujących czynności:

1) jeżeli czynność nie powoduje wysokiego ryzyka naruszenia praw i wolności osób, których Dane Osobowe dotyczą,

2) jeżeli czynność znajduje się w wykazie czynności przetwarzania, dla których nie jest wymagana Ocena Skutków dla Ochrony Danych opublikowanym przez UODO,

3) gdy przeprowadzono już Ocenę Skutków dla Ochrony Danych dla podobnej czynności przetwarzania i można ją zastosować do tej operacji przetwarzania,

4) gdy czynność przetwarzania wynika z przepisów prawa i na etapie przyjmowania tych przepisów prawa dokonano już oceny skutków dla ochrony danych.

4. DPIA zawiera co najmniej:

1) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,

2) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,

3) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1,

4) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

5. Z przeprowadzenia oceny skutków sporządza się raport.

6. Ocenę Skutków dla Ochrony Danych przeprowadza się za pomocą jednej z wybranych metodyk:

1) z użyciem narzędzia udostępnionego przez UODO Narzędzie DPIA, dostępnego tutaj: https://uodo.gov.pl/dpia

2) za pomocą metodyki DPIA w Cybernetics Sp. z o.o. stanowiącej załącznik Nr 2.

7. Każda z dopuszczalnych w Cybernetics Sp. z o.o. metodyk jest równoważna.

8. DPIA przeprowadza Zespół DPIA, czyli Inspektor Ochrony Danych wraz z wybranymi przez siebie Administratorami Danych, których określona czynność przetwarzania dotyczy.

9. W razie potrzeby Inspektor Ochrony Danych kieruje DPIA do konsultacji przez Administratora Bezpieczeństwa Informacji.

10. Administratorzy Danych są obowiązani przekazywać rzetelne, pełne i sprawdzone informacje dotyczące czynności przetwarzania, zarówno na etapie informowania Inspektora Ochrony Danych o nowej czynności przetwarzania, jak i na każde zapytanie Inspektora Ochrony Danych lub Administratora Bezpieczeństwa Informacji.

11. Jeżeli wynik DPIA wykaże, że przetwarzanie powoduje wysokie ryzyko dla ochrony Danych Osobowych, Zespół DPIA wskazuje dodatkowe zabezpieczenia, które należy wdrożyć celem minimalizacji tego ryzyka. Po wdrożeniu dodatkowych zabezpieczeń Zespół ponownie wykonuje DPIA.

12. Jeżeli wynik DPIA wykaże, że wobec badanej czynności przetwarzania występuje wysokie ryzyko dla ochrony Danych Osobowych, którego Cybernetics Sp. z o.o. nie może zminimalizować poprzez zastosowanie dodatkowych środków w celu zminimalizacji tego ryzyka, Inspektor Ochrony Danych wstrzymuje rozpoczęcie takiego przetwarzania i informuje Prezesa Zarządu o konieczności przeprowadzenia konsultacji z UODO.

13. Konsultacje przeprowadza Inspektor Ochrony Danych, a w braku Inspektora Ochrony Danych – Cybernetics Sp. z o.o. przy wsparciu Administratora Bezpieczeństwa Informacji.

14. Inspektor Ochrony Danych może na każdym etapie realizacji obowiązków w zakresie DPIA wystąpić do Administratora Bezpieczeństwa Informacji z wnioskiem o stosowne rekomendacje i zalecenia.

15. W uzasadnionych przypadkach Inspektor Ochrony Danych lub Administrator Bezpieczeństwa Informacji mogą rekomendować przeprowadzenie konsultacji z osobami, których Dane Osobowe dotyczą. Wówczas wraz z rekomendacją Inspektor Ochrony Danych lub Administrator Bezpieczeństwa Informacji wskazują sposób przeprowadzenia konsultacji, w tym metodykę wyboru reprezentantów osób, których Dane Osobowe dotyczą.

16. Po przeprowadzeniu DPIA Inspektor Ochrony Danych przystępuje do zarządzania zidentyfikowanym ryzykiem.

17. Inspektor Ochrony Danych analizuje zidentyfikowane ryzyko oraz wydaje odpowiednie rekomendacje:

1) jeżeli ryzyko jest niewielkie, Inspektor Ochrony Danych rozważa jego akceptację,

2) jeżeli jest możliwe zminimalizowan