Ocena Skutków Przetwarzania Dla Ochrony Danych
- Prawo
dane
- Kategoria
analiza
- Instrukcja
Należy rozpocząć od uzupełnienia celu przetwarzania w tytule dokumentu. Następnie należy dodać informacje o przepisach i wytycznych RODO odnoszących się do danego przetwarzania. W pierwszej tabeli należy opisać proces przetwarzania, uzupełniając wszystkie pola, takie jak opis czynności, cel, podstawa prawna, administrator danych, podmioty przetwarzające, informacje o umowach powierzenia, systemy wspierające, planowane przepływy danych, charakter, zakres i kontekst przetwarzania. W drugiej tabeli należy zebrać opinie wewnętrzne i zewnętrzne dotyczące przetwarzania. W trzeciej tabeli należy odpowiedzieć na pytania dotyczące niezbędności i proporcjonalności danych, odnosząc się do celu przetwarzania, podstawy prawnej, minimalizacji danych, okresu przechowywania, weryfikacji i aktualizacji danych, weryfikacji podmiotu przetwarzającego oraz transferu danych poza EOG. W czwartej tabeli należy opisać realizację obowiązków informacyjnych, sposób realizacji prawa dostępu, prawa do kopii, prawa do sprostowania, prawa do usunięcia, prawa do ograniczenia przetwarzania, prawa do sprzeciwu, informowania o zmianach danych oraz prawa do przenoszenia danych. W sekcji czwartej należy opisać zastosowaną metodę oceny ryzyka. W piątej tabeli należy zidentyfikować i ocenić ryzyko, określając źródło ryzyka, prawdopodobieństwo, skutek, poziom ryzyka, negatywne skutki, wpływ na bezpieczeństwo informacji oraz wpływ na osobę fizyczną. W szóstej tabeli należy zidentyfikować środki redukujące ryzyko, opisując ryzyko, środki zaradcze, wpływ na ryzyko, ryzyko szczątkowe oraz zatwierdzenie środka. W siódmej tabeli należy podsumować ocenę skutków, wpisując zagadnienie, wnioski, uwagi oraz akceptację oceny skutków dla ochrony danych.
- Dane
administrator, cel czynności, cel przetwarzania, informacja o przepisach/wytycznych, informacje o umowach, lokalizacja, negatywne skutki, obszar, odpowiedź, okres, opinie wewnętrzne, opinie zewnętrzne, opis czynności, opis metody oceny ryzyka, podmiotu, podmioty, podstawa prawna, poziom ryzyka, prawdopodobieństwo, przepływy, ryzyko, ryzyko szczątkowe, skutek, systemy, tak/nie, uwagi, wnioski, wpływ, wpływ na bezpieczeństwo, wpływ na osobę, zagadnienie, środki, źródło ryzyka
Dokument 'Ocena Skutków Przetwarzania Dla Ochrony Danych' omawia zagadnienia związane z oceną skutków przetwarzania danych osobowych. Zgodnie z art. 35 RODO, DPIA jest przeprowadzana w przypadku działań, które mogą generować ryzyko dla praw i wolności osób. Dokument zawiera opisy procesu przetwarzania, konsultacji, niezbędności danych, identyfikacji ryzyka oraz środków redukujących ryzyko.
DPIA- [CEL PRZETWARZANIA]
Art. 35 RODO ust. 1 RODO wskazuje, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków dla ochrony danych (DPIA). [INFORMACJA O PRZEPISACH/WYTYCZNYCH]
I. Opis przetwarzania
Tabela nr 1
| Lp. | Dane do identyfikacji procesu przetwarzania | Opis |
|---|---|---|
| | Opis czynności przetwarzania | [OPIS CZYNNOŚCI] |
| | Cel czynności przetwarzania | [CEL CZYNNOŚCI] |
| | Podstawa prawna przetwarzania | [PODSTAWA PRAWNA] |
| | Administrator danych | [ADMINISTRATOR] |
| | Podmioty przetwarzające | [PODMIOTY] |
| | Umowy powierzenia przetwarzania danych osobowych | [INFORMACJE O UMOWACH] |
| | Systemy wspierające przetwarzanie | [SYSTEMY] |
| | Planowane przepływy danych | [PRZEPŁYWY] |
| | Charakter przetwarzania | • W jaki sposób dane będą gromadzone, wykorzystywane, przechowywane i usuwane?• Jakie jest źródło danych?• Czy dane będą komuś udostępniane? |
| | Zakres przetwarzania | • Jakie dane są przetwarzane?• Ile danych będzie gromadzonych i wykorzystywanych?• Jak często?• Ilu osób dotyczy przetwarzanie?• [OKRES] danych• [OBSZAR] przetwarzania danych np. [LOKALIZACJA] |
| | Kontekst przetwarzania | • Kontekst wewnętrzny – obejmujący czynniki wewnętrzne [PODMIOTU]• Kontekst zewnętrzny – obejmujący czynniki zewnętrzne, w których działa [PODMIOT]• Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym, w jakim funkcjonuje [PODMIOT] i przetwarzane są dane osobowe. Należy określić takie elementy jak: lokalne lub branżowe regulacje prawne, [OBSZAR] przetwarzania danych ([LOKALIZACJA]). |
II. Opis procesu konsultacji wewnętrznych i zewnętrznych
Tabela nr 2
| Opinie wewnętrzne | Opinie podmiotów zewnętrznych |
|---|---|
| [OPINIE WEWNĘTRZNE] | [OPINIE ZEWNĘTRZNE] |
III. Określenie niezbędności oraz proporcjonalności danych art. 35 ust. 7 lit b RODO
Tabela nr 3
| Pytanie | Odpowiedź |
|---|---|
| Czy cele przetwarzania są konkretne, wyraźne i prawnie uzasadnione? | [ODPOWIEDŹ] |
| Jaka jest podstawa prawna przetwarzania danych? | [ODPOWIEDŹ] |
| Czy Administrator zbiera dane wyłącznie w zakresie niezbędnym do określonego celu (minimalizacja danych)? | [ODPOWIEDŹ] |
| Czy dane są przechowywane wyłącznie przez czas niezbędny do ich przetwarzania? | [ODPOWIEDŹ] |
| W jaki sposób Administrator weryfikuje prawidłowość danych i je uaktualnia? | [ODPOWIEDŹ] |
| Czy Administrator weryfikuje podmiot przetwarzający? | [ODPOWIEDŹ] |
| Czy dane będą przekazywane poza Europejski Obszar Gospodarczy? | [ODPOWIEDŹ] |
Tabela nr 4
| Pytanie | Odpowiedź |
|---|---|
| Czy Administrator realizuje obowiązki informacyjne? | [ODPOWIEDŹ] |
| Czy obowiązek informacyjny jest przekazywany w zwięzłej, przejrzystej formie? | [ODPOWIEDŹ] |
| W jaki sposób osoba fizyczna może realizować prawo dostępu do danych osobowych? | [ODPOWIEDŹ] |
| Jakie środki podejmuje Administrator, aby zapewnić osobie fizycznej prawo realizacji uzyskania kopii danych? | [ODPOWIEDŹ] |
| W jaki sposób osoba fizyczna może sprostować swoje dane? | [ODPOWIEDŹ] |
| Czy osobie fizycznej przysługuje prawo do usunięcia danych? | [ODPOWIEDŹ] |
| W jaki sposób osoby fizyczne mogą wyegzekwować prawo do ograniczenia przetwarzania i prawo do sprzeciwu? | [ODPOWIEDŹ] |
| Czy Administrator informuje o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe? | [ODPOWIEDŹ] |
| Czy osobie fizycznej przysługuje prawo do przenoszenia danych? | [ODPOWIEDŹ] |
IV. Identyfikacja i ocena ryzyka
[OPIS METODY OCENY RYZYKA]
Tabela nr 5
| Źródło ryzyka i charakter potencjalnego wpływu na osoby | Prawdopodobieństwo | Skutek - dotkliwość dla osób fizycznych | Poziom ryzyka | Identyfikacja negatywnych skutków zdarzenia | Wpływ zdarzenia na atrybuty bezpieczeństwa informacji | Wpływ na osobę fizyczną |
|---|---|---|---|---|---|---|
| [ŹRÓDŁO RYZYKA] | [PRAWDOPODOBIEŃSTWO] | [SKUTEK] | [POZIOM RYZYKA] | [NEGATYWNE SKUTKI] | [WPŁYW NA BEZPIECZEŃSTWO] | [WPŁYW NA OSOBĘ] |
V. Identyfikacja środków redukujących ryzyko
Tabela nr 6
| Ryzyko | Środki zaradzenia ryzyku | Wpływ na ryzyko | Ryzyko szczątkowe | Środek zatwierdzony |
|---|---|---|---|---|
| [RYZYKO] | [ŚRODKI] | [WPŁYW] | [RYZYKO SZCZĄTKOWE] | [TAK/NIE] |
VI. Podsumowanie oceny skutków
Tabela nr 7
| Zagadnienie | Wnioski i akceptacja oceny skutków dla ochrony danych | Uwagi |
|---|---|---|
| [ZAGADNIENIE] | [WNIOSKI] | [UWAGI] |
W dokumentcie 'Ocena Skutków Przetwarzania Dla Ochrony Danych' szczegółowo opisano proces oceny skutków przetwarzania danych. Analiza obejmuje m.in. opis procesu przetwarzania, konsultacje, identyfikację ryzyka oraz środki redukujące ryzyko. Dokument zawiera również wnioski i uwagi dotyczące ochrony danych.