MP nr 7 - Ochrona danych osobowych i ochrona informacji

Grupa Robocza Art.29 opublikowała projekt wytycznych dotyczących oceny skutków w RODO.

Od dnia 25 maja 2017 r. administrator przed rozpoczęciem przetwarzania danych osobowych zobowiązany będzie dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych (DPIA), jeżeli dany rodzaj przetwarzania (w szczególności z użyciem nowych technologii) ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wytyczne przestawione przez Grupę Roboczą Art. 29 mają na celu wyjaśnienie administratorom przepisów w tym zakresie, aby umożliwić im prowadzenie działalności zgodnie z prawem oraz uzyskanie pewności co do sytuacji, w których DPIA jest obowiązkowe. Jest to istotne, gdyż art. 35 ust.3 zawiera wyłącznie przykładowe niewyczerpujące wyliczenie sytuacji, w których ocena skutków dla ochrony danych jest obowiązkowa.

Dokument zawiera wykaz kryteriów, które należy brać pod uwagę w celu sprawdzenia, czy ocena skutków jest wymagana wraz z przykładami takiego przetwarzania. Wytyczne odpowiadają także na pytanie jak przeprowadzić DPIA. RODO umożliwia administratorom elastyczność co do określenia formy DPIA, która będzie pasować do obecnych metod pracy. Grupa Robocza zachęca jednocześnie do tworzenia metod DPIA dla poszczególnych sektorów. Załącznik nr 1 zawiera przykłady obecnie funkcjonujących DPIA, a załącznik nr 2 kryteria wymagane dla DPIA.

Grupa Robocza art. 29 rekomenduje, aby oceny skutków dla dotychczasowego przetwarzania danych osobowych dokonać przed majem 2018 r.