W skrócie – czym jest DPIA?
DPIA (z ang. Data Protection Impact Assessment), czyli ocena skutków dla ochrony danych. Administrator danych ma obowiązek ocenić, czy w związku z przetwarzaniem danych osobowych w danej organizacji istnieje ryzyko naruszenia praw osób, których dane dotyczą.
Kiedy wymagana jest ocena skutków dla ochrony danych?
Wytyczne dotyczące wymagań przeprowadzenia oceny skutków dla ochrony danych zostały zawarte w art. 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Prezes Urzędu Ochrony Danych Osobowych w swoim komunikacie z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony wskazał jednoznacznie obowiązek przeprowadzenia analizy DPIA w kontekście danych osobowych przetwarzanych w związku ze zgłoszeniami od sygnalistów. W związku z powyższym, należy poddać ocenie skutków dla ochrony danych systemy służące do zgłaszania nieprawidłowości (whistleblowing).
Jakich danych wymaga DPIA?
DPIA wymaga, aby zidentyfikować wszystkie kategorie (rodzaje) danych osobowych, które będą przetwarzane w ramach takiego zgłaszania. Będą to dane osobowe osoby zgłaszającej naruszenie, czyli sygnalisty, jak również dane osobowe osób wymienionych w zgłoszeniu, potencjalnych sprawców, świadków, osób pomagających w zgłoszeniu. Musimy również wskazać: źródło zbieranych danych oraz podmioty przetwarzające i odbiorców danych, czyli wszystkie podmioty jakie będą miały dostęp do tych danych. Oprócz wymienionych wytycznych bardzo ważny jest również kontekst przetwarzania danych. Oznacza to, że DPIA opisuje cel, okoliczności przetwarzania danych oraz długość ich przechowywania.
Co powinna zawierać ocena skutków dla ochrony danych?
– opis i cel przetwarzania danych dotyczący zgłoszenia (przyjęcie zgłoszenia, jego przetworzenie oraz rozpatrzenie)
– rodzaj danych (zwykłe, wrażliwe)
– zakres i charakter przetwarzania danych (m.in. jakie dane i w jakim celu będą przetwarzane, jaki rodzaj kanału będzie udostępniony sygnalistom, w jaki sposób będą dane gromadzone)
– wskazanie odbiorców naruszeń czyli osób wyznaczonych do przyjmowania zgłoszeń oraz podmiotu, który dostarczył system informatyczny, za pomocą którego sygnalista zgłasza naruszenia
– ocena zgodności z zasadą niezbędności i proporcjonalności
– ocena naruszenia praw i wolności osób fizycznych
– środki zaradzania ryzyku
– wnioski i zatwierdzenie oceny skutków dla ochrony danych
Należy pamiętać, że nieprzeprowadzenia lub niewłaściwe przeprowadzenie DPIA może skutkować nałożeniem grzywny na Administratora przez właściwy organ nadzorczy, czyli Prezesa Urzędu Ochrony Danych.
Analiza ryzyka oraz audyt kanału zgłoszeniowego ochrony sygnalistów
Audyty kanałów zgłoszeniowych są integralną częścią DPIA w kontekście ochrony sygnalistów. Regularne audyty pozwalają na zweryfikowanie, czy kanały zgłoszeniowe są odpowiednio zabezpieczone i czy spełniają wymagania prawne. W ramach audytu ocenia się:
- poufność
- bezpieczeństwo techniczne
- anonimowość
- dostępność
- zgodność z prawem
Podsumowując, zarówno audyty kanałów zgłoszeniowych, jak i DPIA są niezbędnymi narzędziami w zapewnieniu skutecznej ochrony sygnalistów.
Kompleksowe rozwiązania
Jeżeli zależy Państwu na wdrożeniu u siebie dokumentacji lub potrzebują Państwo przeszkolenia w powyższych zakresach, zapraszamy do zapoznania się z ofertą naszej firmy. Posiadamy szeroką wiedzę z zakresu RODO, audytów w zakresie bezpieczeństwa informacji, ochrony sygnalistów oraz cyberbezpieczeństwa. Oferujemy zarówno szkolenia jak i możliwość przygotowania dokumentów.
Autor: Janina Woszkowska
Zobacz nasze usługi:
Audyt bezpieczeństwa informacji
Szkolenie z zakresu cyberbezpieczeństwa
Inspektor Ochrony Danych – RODO/IOD
Zobacz więcej:
NIS2 i Ustawa o Krajowym Systemie Cyberbezpieczeństwa – najważniejsza zmiana.
Bezpieczeństwo informacji w JST
Cyberslashing – czym jest i jak się przed tym chronić
Jak zapewnić bezpieczeństwo informacji? Krok po kroku.
Szkolenie w zakresie ochrony danych na przykładzie szpitala
Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.