Oceny skutków dla ochrony danych (DPIA)

Zgodnie z przepisami RODO, będąc administratorem danych, musisz przeprowadzić DPIA przed rozpoczęciem przetwarzania danych, które najprawdopodobniej spowoduje duże zagrożenie dla praw i swobód osób — dotyczy to w szczególności przetwarzania z użyciem nowych technologii. RODO udostępnia następującą, niewyczerpującą listę przypadków, gdy należy przeprowadzić DPIA:

• Zautomatyzowane przetwarzanie do celów profilowania i podobnych działań, które mają skutki prawne lub w podobnie istotny sposób wpływają na osoby, których dane dotyczą;
• Przetwarzanie w dużej skali specjalnych kategorii danych osobowych – danych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne itp. — lub danych związanych z wyrokami karnymi i przestępstwami;
• Systematyczny monitoring publicznie dostępnego obszaru w dużej skali.

RODO wymaga również przeprowadzenia konsultacji z urzędem ds. ochrony danych (DPA) przed rozpoczęciem jakiegokolwiek przetwarzania, jeśli nie możesz zidentyfikować wystarczających czynników ograniczających w celu minimalizacji dużego ryzyka dla osób, których dotyczą dane.

Firma Microsoft praktycznie zapewnia prywatność w projektach i domyślnie w ramach swoich funkcji inżynieryjnych i biznesowych. W ramach tych starań firma Microsoft przeprowadza wszechstronne przeglądy prywatności dotyczące operacji przetwarzania danych mogących potencjalnie wpływać na prawa i swobody osób, których dotyczą dane. Zespoły zajmujące się ochroną prywatności osadzone w grupach usług przeglądają projekty i wdrożenia usług, aby zapewnić, że dane osobowe są przetwarzane z szacunkiem oraz zgodnie z prawem międzynarodowym, oczekiwaniami użytkownika i naszym wyraźnym zaangażowaniem. Te przeglądy prywatności stają się bardzo szczegółowe — konkretna usługa może być objęta dziesiątkami lub setkami przeglądów. Firma Microsoft grupuje te szczegółowe przeglądy prywatności w oceny skutków dla ochrony danych (DPIA, Data Protection Impact Assessment) dotyczące głównych grup przetwarzania, które następnie są sprawdzane przez inspektora ochrony danych (DPO, Data Protection Officer) firmy Microsoft w UE. DPO ocenia zagrożenia związane z przetwarzaniem danych w celu zapewnienia, że są stosowane wystarczające środki ograniczające. Jeśli DPO odnajdzie zagrożenia bez środków ograniczających, zaleci grupie inżynieryjnej wprowadzenie zmian. DPIA będą przeglądane i aktualizowane w miarę zmiany zagrożeń dla ochrony danych.

Firma Microsoft, jako podmiot przetwarzający dane, ma obowiązek pomagać administratorom danych w zapewnieniu zgodności z wymaganiami DPIA określonymi w RODO.

Aby wesprzeć naszych klientów, odpowiednie sekcje DPIA firmy Microsoft zostały streszczone i będą udostępniane za pośrednictwem tej sekcji w przyszłych aktualizacjach w celu umożliwienia administratorom danych, którzy polegają na usługach firmy Microsoft, wykorzystanie streszczenia w celu utworzenia własnych DPIA.