Zarządzanie ryzykiem i ocena skutków dla ochrony

Ocena ryzyka związanego z przetwarzaniem danych osobowych jest jednym z obowiązków każdego Administratora. Tylko właściwa identyfikacja ryzyk pozwoli na zastosowanie adekwatnych środków, które mają zapewnić integralność i poufność danych osobowych.

Co ważne analiza ryzyka nie jest tożsama z oceną skutków dla ochrony. Zauważyliśmy, że z powodu chaosu informacyjnego na ten temat wielu Administratorów nie wie w jaki sposób zarządzać ryzykiem i w jakich przypadkach zobowiązani się dokonywać tzw. oceny skutków dla ochrony.

Sporą pomocą może się okazać komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wskazano w nim wyraźnie, że nie każdy Administrator jest zobowiązany do dokonywania oceny skutków dla ochrony. Obowiązek ten dotyczy m.in.

·         działań związanych z profilowaniem,

·         zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub finansowe,

·         systemów monitorujących wypożyczanie rowerów,

·         organizacji, w tym szpitali, które prowadzą badania kliniczne,

·         stosowania systemów rozpoznawania twarzy,

·         diagnostyki genetycznej,

·         portali społecznościowych,

·         łączenia danych z różnych źródeł w celu profilowania na potrzeby działań marketingowych,

·         serwisów oferujących pracę – jeśli dokonują dopasowania ofert do określonych preferencji pracodawców,

·         podmiotów udzielających kredytów, pożyczek oraz oferujących sprzedaż ratalną.

Pełen wykaz przykładów opracowanych przez UODO dostępny jest na stronie: http://monitorpolski.gov.pl/MP/2019/666.