Aktualności/Newsy
GIODO: wykaz procesów przetwarzania danych osobowych wymagających przeprowadzenia oceny ryzyka
W dniu 27 marca 2018 r. na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych został opublikowany projekt wykazu procesów przetwarzania danych osobowych, dla których obowiązkowe będzie przeprowadzenie oceny ryzyka.
Zgodnie z rozporządzeniem 2016/679 ws. danych osobowych („RODO”) w przypadku niektórych procesów przetwarzania danych osobowych przedsiębiorcy obligatoryjnie muszą przeprowadzić tzw. kwalifikowaną ocenę ryzyka, czyli ocenę skutków dla ochrony danych (data protection impact assessment – DPIA).
Przedsiębiorca musi samodzielnie ocenić, czy dany proces (np. rekrutacja, działania marketingowe, organizacja konkursu itp.) podlega wymogowi przeprowadzenia oceny DPIA. Zgodnie z RODO krajowy organ nadzorczy może pomóc administratorom danych w wykonaniu tego obowiązku poprzez przyjęcie wykazu procesów, dla których zawsze konieczne jest przeprowadzenie takiej oceny.
Proponowany przez GIODO wykaz obejmuje m.in. następujące procesy przetwarzania danych:
• dane dotyczące zdrowia pacjentów/klientów;
• przetwarzanie dokumentacji medycznej, w tym wyników badań, dokumentacji pracowniczej, dokumentacji nauczania;
• systemy monitorowania czasu pracy oraz przepływu informacji w wykorzystywanych przez pracowników narzędziach;
• systemy profilowania klientów pod kątem zidentyfikowania preferencji zakupowych;
• systemy służące do zgłaszania nieprawidłowości (związanych np. z korupcją, mobbingiem) – w szczególności, gdy przetwarzane są w nim dane pracowników;
• systemy stosowane do analizy i przekazywania danych dostawcom usługi przy użyciu aplikacji mobilnych z urządzeń zintegrowanych z ubiorem, przenośnych (np. smartwatch, inteligentne opaski itd.).
Wykaz procesów jest obecnie na etapie konsultacji społecznych, które będą trwać do 30 kwietnia 2018 r.
Wykaz procesów dostępny jest pod następującym adresem: