DPIA w kontekście ustawy o sygnalistach

.

W skrócie – czym jest DPIA?

DPIA (z ang. Data Protection Impact Assessment), czyli ocena skutków dla ochrony danych. Administrator danych ma obowiązek ocenić, czy w związku z przetwarzaniem danych osobowych w danej organizacji istnieje ryzyko naruszenia praw osób, których dane dotyczą.

Kiedy wymagana jest ocena skutków dla ochrony danych?

Wytyczne dotyczące wymagań przeprowadzenia oceny skutków dla ochrony danych zostały zawarte w art. 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Prezes Urzędu Ochrony Danych Osobowych w swoim komunikacie z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony wskazał jednoznacznie obowiązek przeprowadzenia analizy DPIA w kontekście danych osobowych przetwarzanych w związku ze zgłoszeniami od sygnalistów. W związku z powyższym, należy poddać ocenie skutków dla ochrony danych systemy służące do zgłaszania nieprawidłowości (whistleblowing).

Jakich danych wymaga DPIA?

DPIA wymaga, aby zidentyfikować wszystkie kategorie (rodzaje) danych osobowych, które będą przetwarzane w ramach takiego zgłaszania. Będą to dane osobowe osoby zgłaszającej naruszenie, czyli sygnalisty, jak również dane osobowe osób wymienionych w zgłoszeniu, potencjalnych sprawców, świadków, osób pomagających w zgłoszeniu. Musimy również wskazać: źródło zbieranych danych oraz podmioty przetwarzające i odbiorców danych, czyli wszystkie podmioty jakie będą miały dostęp do tych danych. Oprócz wymienionych wytycznych bardzo ważny jest również kontekst przetwarzania danych. Oznacza to, że DPIA opisuje cel, okoliczności przetwarzania danych oraz długość ich przechowywania.

Co powinna zawierać ocena skutków dla ochrony danych?

– opis i cel przetwarzania danych dotyczący zgłoszenia (przyjęcie zgłoszenia, jego przetworzenie oraz rozpatrzenie)

– rodzaj danych (zwykłe, wrażliwe)

– zakres i charakter przetwarzania danych (m.in. jakie dane i w jakim celu będą przetwarzane, jaki rodzaj kanału będzie udostępniony sygnalistom, w jaki sposób będą dane gromadzone)

– wskazanie odbiorców naruszeń czyli osób wyznaczonych do przyjmowania zgłoszeń oraz podmiotu, który dostarczył system informatyczny, za pomocą którego sygnalista zgłasza naruszenia

– ocena zgodności z zasadą niezbędności i proporcjonalności

– ocena naruszenia praw i wolności osób fizycznych

– środki zaradzania ryzyku

– wnioski i zatwierdzenie oceny skutków dla ochrony danych

Należy pamiętać, że nieprzeprowadzenia lub niewłaściwe przeprowadzenie DPIA może skutkować nałożeniem grzywny na Administratora przez właściwy organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych.

Analiza ryzyka oraz audyt kanału zgłoszeniowego ochrony sygnalistów

            Audyty kanałów zgłoszeniowych są integralną częścią DPIA w kontekście ochrony sygnalistów. Regularne audyty pozwalają na zweryfikowanie, czy kanały zgłoszeniowe są odpowiednio zabezpieczone i czy spełniają wymagania prawne. W ramach audytu ocenia się:

  1. poufność
  2. bezpieczeństwo techniczne
  3. anonimowość
  4. dostępność
  5. zgodność z prawem

Podsumowując, zarówno audyty kanałów zgłoszeniowych, jak i DPIA są niezbędnymi narzędziami w zapewnieniu skutecznej ochrony sygnalistów.

Kompleksowe rozwiązania

Jeżeli zależy Państwu na wdrożeniu u siebie dokumentacji lub potrzebują Państwo przeszkolenia w powyższych zakresach, zapraszamy do zapoznania się z ofertą naszej firmy. Posiadamy szeroką wiedzę z zakresu RODO, audytów w zakresie bezpieczeństwa informacji, ochrony sygnalistów oraz cyberbezpieczeństwa. Oferujemy zarówno szkolenia jak i możliwość przygotowania dokumentów.

Autor: Janina Woszkowska

Zobacz nasze usługi:

Audyt bezpieczeństwa informacji

Bezpieczeństwo informacji

Audyt cyberbezpieczeństwa

Szkolenie z zakresu cyberbezpieczeństwa

Inspektor Ochrony Danych – RODO/IOD

Zobacz więcej:

NIS2 i Ustawa o Krajowym Systemie Cyberbezpieczeństwa – najważniejsza zmiana.

Bezpieczeństwo informacji w JST

Cyberslashing – czym jest i jak się przed tym chronić

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.

Audyt RODO.

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak audyt bezpieczeństwa wygląda w praktyce?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie

Popularne wpisy

Ciekawe publikacje

Zaufali nam między innymi:

Skontaktuj się z nami

kontakt@doering-partnerzy.pl​
rodo, sygnalista: +48 600 210 513
prace b+r: +48 690 495 513​

Zobacz nasze referencje

Skip to content