Brak odpowiednich środków technicznych i organizacyjnych chroniących przetwarzane dane osobowe może skutkować ich upublicznieniem i wykorzystaniem przez nieuprawnione podmioty, co prowadzi do kar nakładanych przez UODO, pisze na łamach Rzeczpospolitej associate Paweł Zyskowski. Zapraszamy do lektury!
W ubiegłym roku UODO ukarał dwie spółki z branży medycznej za naruszenia ochrony danych osobowych. Jedną z nich była American Heart of Poland S.A. (kara 330 000 euro), drugą Samodzielny Publiczny Zakład Opieki Zdrowotnej (kara 9 300 euro). W obu przypadkach doszło do ataków hakerskich, których przyczyną było nieodpowiednie przeprowadzenie oceny ryzyka lub całkowity brak takiej oceny przy przetwarzaniu danych osobowych.
Ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) to proces, który ma ustalić, czy działania związane z przetwarzaniem danych osobowych mogą stwarzać ryzyko naruszenia ich ochrony. Proces ten można podzielić na kilka kroków, obejmujących opis planowanych operacji przetwarzania, ocenę konieczności i proporcjonalności, określenie środków planowanych w celu wykazania zgodności oraz ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą.
DPIA powinna być regularnie aktualizowana, zwłaszcza przy istotnych zmianach w procesach przetwarzania danych. Istotne jest także regularne sprawdzanie skuteczności zastosowanych środków zabezpieczających. Ocena skutków nie zawsze jest obowiązkowa – wymaga się jej głównie w przypadkach, gdy przetwarzanie danych może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, jak np. przy systematycznym monitorowaniu osób na dużą skalę czy przetwarzaniu danych wrażliwych.
Kiedy przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe? Jakie kroki obejmuje proces DPIA? Jak często należy aktualizować ocenę skutków dla ochrony danych? Na te i wiele innych pytań w swoim tekście, który ukazał się na łamach Rzeczpospolitej, odpowiada Paweł Zyskowski.