Budowanie skutecznych systemów ochrony danych osobowych zgodnie z RODO wymaga zastosowania narzędzi, które umożliwiają weryfikację zagrożeń wynikających z nieprawidłowego wykorzystywania wrażliwych informacji (danych szczególnej kategorii). Należy do nich ocena skutków DPIA. To rozwiązanie dla wszelkich podmiotów z sektora publicznego i niepublicznego, w których proces przetwarzania danych może stwarzać wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ocena skutków DPIA ma na celu oszacowanie prawdopodobieństwa wystąpienia ryzyka dla podmiotów danych. Pomaga też w doborze odpowiednich środków mających na celu ograniczenie szans pojawienia się nieprawidłowości.
Warto zauważyć, iż od strony merytorycznej budowy zarządzania ryzykiem proces „Ocena skutków DPIA” wskazany w RODO to proces szacowania ryzyka, który składa się m.in. z takich elementów jak klasyfikacja ryzyka, analiza ryzyka, ocena ryzyk oraz plan postępowania z ryzykiem.
Co obejmuje ocena skutków dla ochrony danych?
Sytuacje, które wymagają analizy, zostały określone w rozporządzeniu RODO. Administrator danych osobowych ma obowiązek przeprowadzania oceny skutków DPIA w momencie między innymi:
- dokonywania badań behawioralnych, których celem jest uzyskanie negatywnych rezultatów finansowych lub prawnych dla osób fizycznych (np. przy zaciąganiu kredytu),
- przetwarzania danych osobowych związanych z czynami zabronionymi (np. przy wyrokach skazujących),
- przeprowadzania operacji na danych osobowych w celu identyfikacji osób fizycznych, zwłaszcza na szeroką skalę,
- monitorowania miejsc dostępnych publicznie,
- przetwarzania informacji dotyczących lokalizacji,
- realizacji działań marketingowych uwzględniających m.in. monitorowanie preferencji zakupowych.
Co ważne, ocena skutków DPIA uwzględnia podstawowe czynności, które muszą być wykonane w ramach badania:
- sporządzenie szczegółowego opisu planowanych operacji przetwarzania,
- ocena konieczności przeprowadzenia analizy,
- oszacowanie ryzyka wystąpienia naruszeń,
- opracowanie wykazu środków, które mają zapewnić odpowiednią ochronę danych osobowych,
- monitorowanie możliwości zmiany ryzyka naruszenia praw i wolności osób fizycznych.
Do przeprowadzania powyższych zadań zobowiązany jest Administrator danych, a wspierać może go w tym procesie Inspektor Ochrony Danych (jeśli został wyznaczony).
Ocena skutków DPIA a kary administracyjne
Wykonanie analizy ryzyka w wielu operacjach przetwarzania danych jest obowiązkiem. Trzeba pamiętać, że nieprzestrzeganie przepisów odnoszących się do szacowania ryzyka, w tym oceny skutków DPIA wiąże się z ryzykiem poniesienia kary finansowej. Może to być 10 milionów euro lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Należy podkreślić, że zastosowanie mają wyższe kwoty.
Oferta kursu z zakresu analizy ryzyka ogólnego oraz oceny skutków DPIA
Szukając pomocy w zakresie szacowania ryzyka i ochrony informacji, warto sprawdzić nasze kursy. Szkolenie z oceny skutków DPIA, które realizujemy merytorycznie wespół z kursem w zakresie analizy ryzyka to propozycja dla pracowników oraz właścicieli organizacji, przedsiębiorstw czy też przyszłych, a także obecnie pełniących funkcję Inspektorów Ochrony Danych czy Administratorów Systemów Informatycznych. Przedstawimy teorię na temat bezpieczeństwa informacji, pokażemy czynności przygotowawcze do określania skali zagrożeń, a także wskażemy, jak powinien wyglądać proces analizy skutków w praktyce.
Warsztaty i studium przypadku DPIA odbywają się w formie wideokonferencji. Można się na nie zapisać przez wypełnienie formularza zgłoszeniowego. Już teraz zachęcamy do sprawdzenia szczegółów oferty.