Bezpłatna aplikacja na komputer – MM News... i jestem na bieżąco! Sprawdzam

 

STAN PRAWNY NA 21 SIERPNIA 2025

Ocena skutków przetwarzania danych osobowych jest obowiązkiem wynikającym z art. 35 RODO. Wymóg ten dotyczy konieczności przeprowadzenia oceny procesu przetwarzania danych osobowych przed jego rozpoczęciem. Taka ocena jest wymagana, jeżeli dany rodzaj przetwarzania ze względu na swój charakter, zakres i kontekst może naruszać prawo do prywatności osób. Czy przedszkole musi dokonywać oceny skutków przetwarzania, a jeżeli tak, to jak to działanie przeprowadzić?

Czym jest DPIA?

Ocena skutków przetwarzania, czyli Data Protection Impact Assessment (DPIA), to rodzaj analizy procesu przetwarzania danych osobowych, której celem głównym jest zmodyfikowanie procesu w taki sposób, by nie stwarzał on wysokiego ryzyka naruszenia prawa do prywatności osób. DPIA powinna być przeprowadzona w każdym przedszkolu wobec każdego z procesów przetwarzania danych osobowych przed 25 maja 2018 r. (rozpoczęcie obowiązywania RODO). Ocena skutków przetwarzania musi uwzględniać co najmniej cztery aspekty procesu przetwarzania danych.

1. Opis operacji przetwarzania danych osobowych, czyli opis tego, na czym polega proces. Przykładowo opis procesu w przedszkolu może wyglądać następująco:

Dane osobowe podopiecznych są przetwarzane w wersji papierowej oraz z wykorzystaniem systemu informatycznego. Dane osobowe są pobierane bezpośrednio od opiekunów prawnych (rodziców) podopiecznych w wersji papierowej, następnie wprowadzane są przez pracowników przedszkola do systemów informatycznych. W zakres danych wchodzą takie informacje jak: imię, nazwisko, data urodzenia, miejsce zamieszkania, dane rodziców itp. Dane podopiecznych znajdują się również na ich pracach artystycznych umieszczanych w szatniach i na korytarzach przedszkola. Dane te są przetwarzane m.in. w zakresie imion i nazwisk, grupy i daty. Po zakończeniu okresu przedszkolnego wszelkie dane pozostające w przedszkolu są zwracane opiekunom prawnym podopiecznych lub niszczone. Celem przetwarzania danych osobowych jest sprawne przeprowadzenie procesu wychowawczego na etapie przedszkolnym, zgodnie z przepisami prawa i wytycznymi dyrektora przedszkola.

2. Ocena niezbędności i proporcjonalności przetwarzania danych osobowych w procesie przetwarzania danych osobowych. W celu jej przeprowadzenia przedszkole powinno odpowiedzieć na następujące pytania:

  1. w ramach wewnętrznych obowiązków przedszkola:
    1. Czy istnieje konkretny, wyraźny i prawnie uzasadniony cel administratora danych?
    2. Czy przetwarzanie danych jest zgodne z prawem?
    3. Czy przetwarzanie danych jest adekwatne do celów, jakie mają być osiągnięte?
    4. Czy ograniczono okres przechowywania danych?
  2. w ramach zewnętrznych obowiązków przedszkola:
    1. Czy osobie, której dane dotyczą, udzielono informacji o jej prawach wynikających z RODO?
    2. Czy osobie zapewniono prawo dostępu do danych?
    3. Czy osobie zapewniono prawo do sprostowania, usunięcia, ograniczenia przetwarzania i złożenia sprzeciwu?
    4. Czy zidentyfikowano odbiorców danych?
    5. Czy zidentyfikowano procesorów danych?
    6. Czy zidentyfikowano zabezpieczenia danych w przypadku ich przekazywania?
    7. Czy postępowanie z ryzykiem spowodowało brak obowiązku konsultacji z organem nadzorczym (konsultacja z organem nadzorczym jest obowiązkowa, jeżeli ryzyka nie udało się zminimalizować do akceptowalnego poziomu)?

Odpowiedzi na powyższe pytania powinny być sklasyfikowane jednoznacznie: tak/nie, gdyż będą one stanowiły element składowy wyniku oceny skutków przetwarzania. Oczywiście powyższe pytania mogą być skonstruowane w inny sposób, jednak zostały one opracowane na podstawie wytycznej Grupy Roboczej Art. 29 z dnia 4 października 2017 r. Warto też zaznaczyć, że pytania są podzielone na dwa obszary: wewnętrzne i zewnętrzne obowiązki przedszkola. Wyniki oceny tych obszarów powinny być sumowane odrębnie.

3. Analiza ryzyka naruszenia praw i wolności osoby, której dane są przetwarzane w procesie przetwarzania danych osobowych. W celu sprawnego przeprowadzenia analizy ryzyka musimy uwzględnić co najmniej cztery elementy: zagrożenie dla prawa do prywatności osoby, prawdopodobieństwo jego wystąpienia, ewentualny skutek jego wystąpienia i sposób postępowania z ryzykiem. Oczywiście nie powinniśmy poprzestawać na badaniu jednego zagrożenia, a uwzględnić co najmniej trzy z nich. Zagrożeniem mogą być np. nieuprawniony dostęp do danych osobowych w procesie, naruszenie zakazu dyskryminacji (np. podopieczny w grupie jest dyskryminowany ze względu na swoją przynależność etniczną), szkoda wizerunkowa dla osoby (np. jeden wychowawca negatywnie odnosi się do przekonań religijnych rodzica jednego z podopiecznych).