Ocena skutków dla ochrony danych osobowych

Prawo

dane

Kategoria

analiza

Instrukcja

W pierwszej części dokumentu, opisującej przetwarzanie, należy uzupełnić tabelę nr 1. W kolumnie "Opis czynności przetwarzania" należy szczegółowo opisać wszystkie czynności związane z przetwarzaniem danych osobowych. W kolumnie "Cel czynności przetwarzania" należy określić cel, dla którego dane osobowe są przetwarzane. W kolumnie "Podstawa prawna przetwarzania" należy wskazać podstawę prawną przetwarzania danych osobowych. W kolumnie "Administrator danych" należy podać nazwę i dane kontaktowe administratora danych. W kolumnie "Podmioty przetwarzające" należy wymienić wszystkie podmioty przetwarzające dane osobowe w imieniu administratora. W kolumnie "Umowy powierzenia przetwarzania danych osobowych" należy wskazać, czy zawarto umowy powierzenia przetwarzania danych osobowych z podmiotami przetwarzającymi. W kolumnie "Systemy wspierające przetwarzanie" należy wymienić systemy informatyczne wykorzystywane do przetwarzania danych osobowych. W kolumnie "Planowane przepływy danych" należy opisać planowane przepływy danych osobowych, w tym do państw trzecich. W kolumnie "Charakter przetwarzania" należy opisać sposób gromadzenia, wykorzystywania, przechowywania i usuwania danych osobowych, źródło danych oraz informacje o udostępnianiu danych. W kolumnie "Zakres przetwarzania" należy określić rodzaj przetwarzanych danych, ilość gromadzonych i wykorzystywanych danych, częstotliwość przetwarzania, liczbę osób, których dotyczy przetwarzanie, okres retencji danych oraz obszar przetwarzania danych. W kolumnie "Kontekst przetwarzania" należy opisać kontekst wewnętrzny i zewnętrzny przetwarzania danych, w tym czynniki prawne, geograficzne, polityczne i społeczne. W drugiej części dokumentu, opisującej proces konsultacji, należy uzupełnić tabelę nr 2. W kolumnie "Opinie wewnętrzne" należy zebrać opinie wewnętrzne na temat przetwarzania danych osobowych. W kolumnie "Opinie podmiotów zewnętrznych" należy zebrać opinie podmiotów zewnętrznych na temat przetwarzania danych osobowych. W trzeciej części dokumentu, określającej niezbędność i proporcjonalność danych, należy uzupełnić tabele nr 3 i 4. W tabelach tych należy odpowiedzieć na pytania dotyczące zgodności przetwarzania danych osobowych z RODO. W czwartej części dokumentu, identyfikującej i oceniającej ryzyko, należy określić metodę oceny ryzyka i uzupełnić tabelę nr 5. W tabeli tej należy zidentyfikować źródła ryzyka, określić prawdopodobieństwo wystąpienia ryzyka, ocenić dotkliwość skutków dla osób fizycznych, określić poziom ryzyka, zidentyfikować negatywne skutki zdarzenia, określić wpływ zdarzenia na atrybuty bezpieczeństwa informacji oraz określić wpływ na osobę fizyczną. W piątej części dokumentu, identyfikującej środki redukujące ryzyko, należy uzupełnić tabelę nr 6. W tabeli tej należy określić ryzyko, zaproponować środki zaradcze, ocenić wpływ środków na ryzyko, określić ryzyko szczątkowe oraz zaznaczyć, czy środek został zatwierdzony. W szóstej części dokumentu, podsumowującej ocenę skutków, należy uzupełnić tabelę nr 7. W tabeli tej należy sformułować wnioski i uwagi dotyczące oceny skutków dla ochrony danych osobowych.

Dane

administrator, atrybuty, cel czynności, dotkliwość, lokalizacja, metoda oceny ryzyka, opinie wewnętrzne, opinie zewnętrzne, opis czynności, podmioty, podstawa prawna, poziom ryzyka, prawdopodobieństwo, przepływy, ryzyko, ryzyko szczątkowe, skutki, systemy, umowy, uwagi, wnioski i akceptacja, wpływ, wpływ na ryzyko, zagadnienie, zatwierdzone, środki, źródło ryzyka

Dokument 'Ocena skutków dla ochrony danych osobowych' zawiera szczegółowe opisy procesów przetwarzania danych, konsultacji wewnętrznych i zewnętrznych, oraz analizę ryzyka związanego z danymi osobowymi. Przygotowano także informacje dotyczące niezbędności oraz proporcjonalności danych, środków ochrony praw osób fizycznych oraz metody oceny ryzyka. Całość dokumentu skupia się na zachowaniu zgodności z obowiązującymi przepisami RODO.

I. Opis przetwarzania

Tabela nr 1

Lp. | Dane do identyfikacji procesu | Opis przetwarzania

---|--- |---

| Opis czynności przetwarzania | [OPIS CZYNNOŚCI]

| Cel czynności przetwarzania | [CEL CZYNNOŚCI]

| Podstawa prawna przetwarzania | [PODSTAWA PRAWNA]

| Administrator danych | [ADMINISTRATOR]

| Podmioty przetwarzające | [PODMIOTY]

| Umowy powierzenia przetwarzania danych osobowych | [UMOWY]

| Systemy wspierające przetwarzanie | [SYSTEMY]

| Planowane przepływy danych | [PRZEPŁYWY]

| Charakter przetwarzania | • W jaki sposób dane będą gromadzone, wykorzystywane, przechowywane i usuwane?• Jakie jest źródło danych?• Czy dane będą komuś udostępniane?

| Zakres przetwarzania | • Jakie dane są przetwarzane (zwykłe, szczególnej kategorii)?• Ile danych będzie gromadzonych i wykorzystywanych?• Jak często?• Ilu osób dotyczy przetwarzanie?• Określenie retencji danych• Określenie obszar przetwarzania danych np. [LOKALIZACJA]

| Kontekst przetwarzania | • Kontekst wewnętrzny – obejmujący czynniki wewnętrzne podmiotu, firmy, jej organizacji• Kontekst zewnętrzny – obejmujący czynniki zewnętrzne, w których działa podmiot, firma• Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym, w jakim funkcjonuje firma i przetwarzane są dane osobowe. Należy określić takie elementy jak: lokalne lub branżowe regulacje prawne na podstawie, których działa firma, zakres terytorialny przetwarzania danych ([LOKALIZACJA] lub poza [LOKALIZACJA]), inwentaryzacja aktywów dla dokładności oraz skuteczności procesu szacowania ryzyka.

II. Opis procesu konsultacji wewnętrznych i zewnętrznych

Tabela nr 2

| Opinie wewnętrzne np.: | [OPINIE WEWNĘTRZNE]

| Opinie podmiotów zewnętrznych | [OPINIE ZEWNĘTRZNE]

III. Określenie niezbędności oraz proporcjonalności danych (art. 35 ust. 7 lit b RODO)

Tabela nr 3

| Środki, których podjęcie jest planowane w celu zapewnienia przestrzegania RODO |

|---|

| Pytanie | Odpowiedź

| Czy cele przetwarzania są konkretne, wyraźne i prawnie uzasadnione (art. 5 ust. 1 lit. b)? | [ODPOWIEDŹ]

| Jaka jest podstawa prawna przetwarzania danych? | [ODPOWIEDŹ]

| Czy Administrator zbiera dane wyłącznie w zakresie niezbędnym do określonego celu (minimalizacja danych) (art. 5 ust. 1 lit. c)? | [ODPOWIEDŹ]

| Czy dane są przechowywane wyłącznie przez czas niezbędny do ich przetwarzania (art. 5 ust. 1 lit. e)? | [ODPOWIEDŹ]

| W jaki sposób Administrator weryfikuje prawidłowość danych i je uaktualnia (art. 5 ust. 1 lit. d)? | [ODPOWIEDŹ]

| Czy Administrator weryfikuje podmiot przetwarzający w sposób zapewniający, że procesor będzie przetwarzał powierzone dane zgodnie z przepisami RODO? | [ODPOWIEDŹ]

| Czy dane będą przekazywane poza Europejski Obszar Gospodarczy, jeśli tak to, w jaki sposób dane zostaną zabezpieczone? | [ODPOWIEDŹ]

Tabela nr 4

| Środki przyczyniające się do zachowania praw osób, których dane dotyczą |

|---|

| Pytanie | Odpowiedź

| Czy Administrator realizuje obowiązki informacyjne z art. 13 i 14 RODO? | [ODPOWIEDŹ]

| Czy obowiązek informacyjny jest przekazywany w zwięzłej, przejrzystej, łatwo dostępnej formie oraz napisany jest prostym językiem? (art. 12 ust. 1 RODO) | [ODPOWIEDŹ]

| W jaki sposób osoba fizyczna może realizować prawo dostępu do danych osobowych? (art. 15 ust. 1 RODO) | [ODPOWIEDŹ]

| Jakie środki podejmuje Administrator, aby zapewnić osobie fizycznej prawo realizacji uzyskania kopii danych? (art. 15 ust. 3 RODO) | [ODPOWIEDŹ]

| W jaki sposób osoba fizyczna może sprostować swoje dane? (art. 16 RODO) | [ODPOWIEDŹ]

| Czy osobie fizycznej przysługuje prawo do usunięcia danych? (art. 17 RODO) | [ODPOWIEDŹ]

| W jaki sposób osoby fizyczne mogą wyegzekwować prawo do ograniczenia przetwarzania i prawo do sprzeciwu? (art. 18 i art. 21 RODO) | [ODPOWIEDŹ]

| Czy Administrator informuje o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania każdego odbiorcy, któremu ujawniono dane osobowe? (art. 19 RODO) | [ODPOWIEDŹ]

| Czy osobie fizycznej przysługuje prawo do przenoszenia danych? (art. 20 RODO) | [ODPOWIEDŹ]

IV. Identyfikacja i ocena ryzyka

[METODA OCENY RYZYKA]

Tabela nr 5

| Źródło ryzyka | Prawdopodobieństwo | Skutek - dotkliwość dla osób fizycznych | Poziom ryzyka | Identyfikacja negatywnych skutków zdarzenia | Wpływ zdarzenia na atrybuty bezpieczeństwa informacji | Wpływ na osobę fizyczną |

|---|---|---|---|---|---|---|

| [ŹRÓDŁO RYZYKA] | [PRAWDOPODOBIEŃSTWO] | [DOTKLIWOŚĆ] | [POZIOM RYZYKA] | [SKUTKI] | [ATRYBUTY] | [WPŁYW] |

V. Identyfikacja środków redukujących ryzyko

Tabela nr 6

| Ryzyko | Środki zaradzenia ryzyku | Wpływ na ryzyko | Ryzyko szczątkowe | Środek zatwierdzony |

|---|---|---|---|---|

| [RYZYKO] | [ŚRODKI] | [WPŁYW] | [RYZYKO SZCZĄTKOWE] | [ZATWIERDZONE] |

VI. Podsumowanie oceny skutków

Tabela nr 7

| Zagadnienie | [WNIOSKI] | Uwagi |

|---|---|---|

| [ZAGADNIENIE] | [WNIOSKI I AKCEPTACJA] | [UWAGI] |

Ocena skutków dla ochrony danych osobowych to kompleksowy dokument, który pomaga zrozumieć procesy związane z przetwarzaniem danych osobowych, konsultacjami wewnętrznymi i zewnętrznymi, oraz identyfikacją ryzyka. Zapewnia również wskazówki dotyczące ochrony praw osób fizycznych oraz redukcji ryzyka związanego z danymi osobowymi.