Lista kontrolna DPIA
- Prawo
dane
- Kategoria
lista
- Instrukcja
Należy rozpocząć od uzupełnienia danych firmy w dolnej części szablonu, wpisując nazwę firmy, adres oraz numer NIP. Następnie należy przejść do Sekcji I i odpowiedzieć na każde pytanie zaznaczając "TAK" lub "NIE" w odpowiedniej kolumnie. Jeżeli odpowiedź na którekolwiek z pytań 1-14 brzmi "TAK", oznacza to konieczność przeprowadzenia DPIA. W przypadku odpowiedzi "NIE" na wszystkie pytania z Sekcji I, DPIA nie jest wymagana. Jeżeli DPIA jest wymagana, należy przejść do Sekcji II i sprawdzić, czy przeprowadzona DPIA zawiera wszystkie wymagane elementy. Dla każdego pytania w Sekcji II należy zaznaczyć "TAK" lub "NIE", w zależności od tego, czy DPIA zawiera dany element. Jeżeli na którekolwiek pytanie w Sekcji II odpowiedziano "NIE", należy uzupełnić brakujący element w DPIA. W Sekcji III należy ocenić, czy podczas przeprowadzania DPIA uwzględniono wszystkie istotne aspekty przetwarzania. Podobnie jak w poprzednich sekcjach, dla każdego pytania należy zaznaczyć "TAK" lub "NIE". Jeżeli na którekolwiek pytanie w Sekcji III odpowiedziano "NIE", należy podjąć odpowiednie działania naprawcze. Po wypełnieniu wszystkich sekcji, lista kontrolna jest gotowa.
- Dane
adres, firma, nip
Lista kontrolna DPIA to narzędzie służące do określenia konieczności przeprowadzenia oceny skutków ochrony danych osobowych. Sprawdza, czy przeprowadzona IBM zawiera wszystkie istotne elementy i uwzględnia kluczowe aspekty przetwarzania.
LISTA KONTROLNA
DATA PROTECTION IMPACT ASSESSMENT (DPIA)
Założenia:
1. Lista kontrolna ma na celu określenie:
a) czy należy przeprowadzić DPIA,
b) czy przeprowadzona DPIA zawiera wymagane elementy,
c) czy podczas przeprowadzania DPIA uwzględniono wszystkie istotne aspekty przetwarzania.
Lp. | Pytanie | Rekomendacje | Odpowiedź „TAK” | Odpowiedź „NIE”
---|---|---|---|---|
| SEKCJA I – CZY NALEŻY PRZEPROWADZIĆ DPIA? | | | |
1. | Czy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych? | Należy przeprowadzić DPIA | | nie jest konieczna |
2. | Czy przetwarzanie odbywa się na mocy art. 6 ust. 1 lit. c) lub e) RODO i ma podstawę prawną w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator, i prawo takie reguluje daną operację przetwarzania lub zestaw operacji, a oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej? | DPIA nie jest konieczna, chyba że państwo członkowskie uznało za niezbędne, by przed podjęciem czynności przetwarzania dokonać oceny skutków dla ochrony danych. | | Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (jeżeli odpowiedziano „TAK” na pytanie nr 1), to należy przeprowadzić DPIA |
3. | Czy dany rodzaj przetwarzania wiąże się z ewaluacją lub oceną, w tym z profilowaniem i przewidywaniem (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych? | Należy przeprowadzić DPIA | | nie jest konieczna |
4. | Czy dany rodzaj przetwarzania wiąże się ze zautomatyzowanym podejmowaniem decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki? | Należy przeprowadzić DPIA | | nie jest konieczna |
5. | Czy dany rodzaj przetwarzania wiąże się z systematycznym monitorowaniem na dużą skalę miejsc dostępnych publicznie wykorzystującym elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni? Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa. | Należy przeprowadzić DPIA | | nie jest konieczna |
6. | Czy dany rodzaj przetwarzania wiąże się z przetwarzaniem na dużą skalę szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych? | Należy przeprowadzić DPIA | | nie jest konieczna |
7. | Czy dany rodzaj przetwarzania wiąże się z przetwarzaniem danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu? | Należy przeprowadzić DPIA | | nie jest konieczna |
8. | Czy dany rodzaj przetwarzania wiąże się z przetwarzaniem danych genetycznych? | Należy przeprowadzić DPIA | | nie jest konieczna |
9. | Czy dany rodzaj przetwarzania wiąże się z przetwarzaniem danych na dużą skalę, gdzie pojęcie dużej skali dotyczy: (i) liczby osób, których dane są przetwarzane, (ii) zakresu przetwarzania, (iii) okresu przechowywania danych oraz (iv) geograficznego zakresu przetwarzania? | Należy przeprowadzić DPIA | | nie jest konieczna |
10. | Czy dany rodzaj przetwarzania wiąże się z przeprowadzaniem porównań, oceną lub wnioskowaniem na podstawie analizy danych pozyskanych z różnych źródeł? | Należy przeprowadzić DPIA | | nie jest konieczna |
11. | Czy dany rodzaj przetwarzania wiąże się z przetwarzaniem danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami władczymi i/lub oceniającymi? | Należy przeprowadzić DPIA | | nie jest konieczna |
12. | Czy dany rodzaj przetwarzania wiąże się z innowacyjnym wykorzystaniem lub zastosowaniem rozwiązań technologicznych lub organizacyjnych? | Należy przeprowadzić DPIA | | nie jest konieczna |
13. | Czy dany rodzaj przetwarzania wiąże się z przetwarzaniem, które samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystaniem z usługi lub umowy? | Należy przeprowadzić DPIA | | nie jest konieczna |
14. | Czy dany rodzaj przetwarzania wiąże się z przetwarzaniem danych lokalizacyjnych? | Należy przeprowadzić DPIA | | nie jest konieczna |
| SEKCJA II – CZY PRZEPROWADZONA DPIA ZAWIERA WYMAGANE ELEMENTY? | | | |
15. | Czy DPIA zawiera systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora? | DPIA zawiera wymagany element | | Należy zawrzeć w DPIA wymagany element |
16. | Czy DPIA zawiera ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów? | DPIA zawiera wymagany element | | Należy zawrzeć w DPIA wymagany element |
17. | Czy DPIA zawiera ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą? | DPIA zawiera wymagany element | | Należy zawrzeć w DPIA wymagany element |
18. | Czy DPIA zawiera środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą i innych osób, których sprawa dotyczy? | DPIA zawiera wymagany element | | Należy zawrzeć w DPIA wymagany element |
| SEKCJA III – CZY PODCZAS PRZEPROWADZANIA DPIA UWZGLĘDNIONO WSZYSTKIE ISTOTNE ASPEKTY PRZETWARZANIA? | | | |
19. | Czy administrator dokonując DPIA skonsultował się z inspektorem ochrony danych, jeżeli został on wyznaczony? | Administrator zrealizował obowiązek | | Administrator powinien zrealizować obowiązek |
20. | Czy administrator lub podmiot przetwarzający oceniając skutki operacji przetwarzania (dokonując DPIA), uwzględnił przestrzeganie zatwierdzonych kodeksów postępowania, o których mowa w art. 40 RODO? | Administrator/podmiot przetwarzający realizuje obowiązek | | Administrator/podmiot przetwarzający powinien zrealizować obowiązek |
21. | Czy w stosownych przypadkach administrator zasięga opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania? | Administrator realizuje obowiązek | | Administrator powinien zrealizować obowiązek |
22. | Czy, w razie potrzeby, przynajmniej gdy zmienia się ryzyko wynikające z operacji przetwarzania, administrator dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z DPIA? | Administrator realizuje obowiązek | | Administrator powinien zrealizować obowiązek |
[FIRMA]
[ADRES]
[NIP]
Lista kontrolna DPIA pozwala na systematyczne sprawdzenie i ocenę zgodności przeprowadzonej analizy ryzyka z wymogami RODO. Zawiera pytania dotyczące konieczności przeprowadzenia oceny skutków oraz elementów, jakie powinna zawierać DPIA.