Czym jest DPiA

DPIA (Data Protection Impact Assessment) – ocena skutków dla ochrony danych

Zgodnie z art. 35 ust. 1 Rozporządzania o ochronie danych osobowych, jeżeli dany rodzaj przetwarzania:

• w szczególności z użyciem nowych technologii;
• ze względu na swój charakter, zakres, kontekst i cele;

z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Biorąc pod uwagę treść art. 35 Rozporządzenia RODO a w szczególności ust. 7 DPIA przeprowadzamy biorąc pod uwagę następujące etapy:

1. Opis planowanych operacji przetwarzania z uwzględnieniem celów przetwarzania (art. 35 ust. 1 Rozporządzania RODO).
2. Ocena czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów.
3. Przeprowadzenie oceny ryzyka naruszenia praw i wolności, osób, których dane dotyczą (podmiotów danych).
4. Planowane środki w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
5. Opracowanie oraz wdrożenie dokumentacji.
6. Monitoring wdrożonych rozwiązań, dokonywanie przeglądów.

Kary RODO za nieprzestrzeganie art. 35 RODO

Za nieprzestrzeganie przepisów dotyczących oceny skutków dla ochrony danych może zostać nałożona administracyjna kara pieniężna w wysokości

• do 10 000 000,00 EUR
• a w przypadku przedsiębiorstw – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego,

przy czym zastosowanie ma kwota wyższa.

Jak uniknąć kar?

Z racji na wysokie wymagania postawione poprzez ustawodawcę zaleca się zatrudnienie osoby specjalizującej się w Ochronie Danych Osobowych która oprócz obsługi DPIA może pełnić rolę Inspektora Ochrony Danych. 

Jednakże po co zatrudniać niedoświadczoną osobę skoro można zlecić obsługę tego zagadnienia profesjonalistom z wieloletnim doświadczeniem? Skorzystaj z doświadczenia Detectio Group i zapoznaj się z naszą ofertą w zakresie Outsourcingu RODO.

¹ Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)