Szukaj

Publikacje

ANALIZA RYZYKA NA GRUNCIE RODO

Kolejną nowość wprowadzaną przez Rozporządzenie
stanowi
obowiązek
przeprowadzenia
przez
administratora danych analizy ryzyka. Wymuszenie
takiej analizy, poprzez ustanowienie jej jednym z
podstawowych obowiązków administratora danych
w określonych przez Rozporządzenie sytuacjach,
ma
na
celu
zwiększenie
świadomości
niebezpieczeństw
występujących
przy
przetwarzaniu danych osobowych. Ewentualny
wyciek
danych
osobowych
może,
bowiem
spowodować znacznie większe straty niż jedynie
koszt odszkodowań.

W praktyce przeprowadzenie analizy ryzyka
związanego z przetwarzaniem danych osobowych
powinno
nastąpić
przed
rozpoczęciem
przetwarzania danych przez administratora. Jeżeli
dany rodzaj przetwarzania – w szczególności z
użyciem nowych technologii – ze względu na swój
charakter, zakres, kontekst i cele z dużym
prawdopodobieństwem może powodować wysokie
ryzyko naruszenia praw lub wolności osób
fizycznych – przeprowadzenie analizy ryzyka jest
obligatoryjne.
Zgodnie
z
Rozporządzeniem,
przeprowadzając analizę, administrator danych
konsultuje się z inspektorem ochrony danych, jeżeli
został on wyznaczony. Ocena skutków dla ochrony
danych jest w szczególności wymagana w
przypadku:

a) systematycznej, kompleksowej oceny czynników
osobowych odnoszących się do osób fizycznych,
która
opiera
się
na
zautomatyzowanym
przetwarzaniu, w tym profilowaniu, i jest podstawą
decyzji wywołujących skutki prawne wobec osoby
fizycznej lub w podobny sposób znacząco
wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych
kategorii danych osobowych lub danych osobowych
dotyczących wyroków skazujących i naruszeń
prawa; lub

c) systematycznego monitorowania na dużą skalę
miejsc dostępnych publicznie.

Organ nadzorczy ustanawia i podaje do publicznej
wiadomości wykaz rodzajów operacji przetwarzania
podlegających wymogowi dokonania oceny skutków
dla ochrony danych oraz przekazuje te wykazy
Europejskiej Radzie Ochrony Danych.

Ocena skutków dla ochrony danych będąca
wynikiem wykonanej analizy ryzyka powinna
zawierać co najmniej:

– opis planowanych operacji przetwarzania i celów
przetwarzania;
– ocenę, czy operacje przetwarzania są niezbędne
oraz proporcjonalne w stosunku do celów;
– ocenę ryzyka naruszenia praw lub wolności osób,
których dane dotyczą;
– środki planowane w celu zaradzenia ryzyku, w tym
zabezpieczenia
oraz
środki
i
mechanizmy
bezpieczeństwa mające zapewnić ochronę danych
osobowych i wykazać przestrzeganie przepisów
Rozporządzenia.

Jeżeli ocena skutków dla ochrony danych wykaże,
że przetwarzanie mogłoby spowodować wysokie
ryzyko, w przypadku nie zastosowania przez
administratora
środków
mających
na
celu
zminimalizowanie tego ryzyka, to, zgodnie z
Rozporządzeniem,
przed
rozpoczęciem
przetwarzania konieczne będzie zasięgnięcie
konsultacji organu nadzorczego. Jeśli zaś organ
nadzorczy stwierdzi, że zamierzone przetwarzanie
danych stanowiłoby naruszenie Rozporządzenia – w
szczególności, gdy administrator niedostatecznie
zidentyfikował lub zminimalizował ryzyko – to organ
nadzorczy udzieli administratorowi pisemnych
zaleceń oraz będzie mógł skorzystać z uprawnień
przysługujących mu na podstawie przepisów
Rozporządzenia. Co do zasady, takie konsultacje
będą trwały osiem tygodni. Termin ten może
jednak ulec przedłużeniu, ponadto bieg tego
terminu można zawiesić do czasu, aż organ nadzorczy uzyska wszelkie informacje, których
zażądał dla celów konsultacji.

MILLER, CANFIELD,
W. BABICKI, A. CHEŁCHOWSKI I WSPÓLNICY SP.K.
ul. Batorego 28-32
81-366 Gdynia
Tel. +48 58 782-0050
Fax +48 58 782-0060
gdynia@pl.millercanfield.com
ul. Nowogrodzka 11
00-513 Warszawa
Tel. +48 22 447-4300
Fax +48 22 447-4301
warszawa@pl.millercanfield.com
ul. Skarbowców 23a
53-125 Wrocław
Tel. +48 71 780-3100
Fax +48 71 780-3101
wroclaw@pl.millercanfield.com

Zastrzeżenie: Niniejsza publikacja została przygotowana dla klientów i współpracowników kancelarii Miller Canfield. Ma ona na celu jedynie
przedstawienie streszczenia niektórych wydarzeń prawnych z wybranych dziedzin prawa. Z tego powodu informacje zawarte w niniejszej publikacji nie
powinny stanowić podstawy do podjęcia jakiejkolwiek decyzji dotyczącej określonego kierunku działania. Informacje te nie mogą też być traktowane
jako porada prawna ani nie zastępują szczegółowej opinii prawnej w konkretnej sprawie. W każdym przypadku należy skorzystać z usług doradców
prawnych w celu weryfikacji, czy odpowiednie przepisy prawa mają zastosowanie do określonej sytuacji.