Miesięcznik informatyków i menedżerów IT sektora publicznego

Janusz Żmudziński

Aplikacja do oceny skutków dla ochrony prywatności

Wdrożenie i utrzymanie rozwiązań organizacyjnych i technicznych zgodnych z przepisami rodo wymaga przeprowadzenia analizy ryzyka. Istotną pomocą przy tej czynności może być bezpłatna aplikacja PIA, opracowana przez francuski organ nadzorczy ochrony danych.

Aplikacja PIA – strona startowa.

Jesteśmy świadkami największych od 20 lat zmian w obszarze ochrony danych osobowych. 25 maja 2018 r. w krajach Unii Europejskiej weszły w życie zasady zawarte w rodo, czyli ogólnym rozporządzeniu o ochronie danych (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Rozporządzenie to zastępuje liczące ponad 20 lat dotychczasowe regulacje w obszarze ochrony danych osobowych. Nowe przepisy są stosowane bezpośrednio i obejmują każdą organizację na terenie Unii Europejskiej, która przetwarza dane osobowe w związku z prowadzoną działalnością.

Konieczność oceny ryzyka

Jedną z najistotniejszych różnic między rodo a dotychczas obowiązującymi regulacjami jest przyjęcie przez prawodawcę podejścia opartego na ryzyku (ang. risk-based approach). Oznacza to, że dla wszystkich procesów przetwarzania danych osobowych należy określić poziom ryzyka związanego z przetwarzaniem danych osobowych, a następnie dobrać i wdrożyć adekwatne środki organizacyjne i techniczne. Środki te mają za zadanie zapewnienie stopnia bezpieczeństwa odpowiadającego zidentyfikowanemu ryzyku (art. 24 i 32 rodo). Podejście oparte na ryzyku zakłada, że każdy podmiot przetwarzający dane w sposób świadomy podejmie decyzję o stosowanych środkach zabezpieczenia. Ma to tym większe znaczenie, że podmiot ten ponosi odpowiedzialność w przypadku naruszenia bezpieczeństwa danych osobowych.

Podstawą wprowadzenia podejścia opartego na ryzyku była chęć zagwarantowania technicznej neutralności nowego prawa. Zastosowane środki organizacyjne i techniczne będą zróżnicowane w zależności od charakterystyki podmiotu przetwarzającego oraz sektora, w którym on funkcjonuje, i rodzaju danych osobowych. Inne zabezpieczenia zastosuje korporacja z branży finansowej, inne placówka medyczna przetwarzająca informacje o stanie zdrowia, a jeszcze inne mały sklep internetowy. Należy zwrócić uwagę, że od poziomu zidentyfikowanego ryzyka i zastosowanych środków bezpieczeństwa będzie zależało to, czy zaistniałe naruszenie ochrony danych osobowych należy zgłaszać organowi nadzorczemu, a także w szczególnych przypadkach – gdy ryzyko będzie wysokie – również osobom, których dane dotyczą (art. 33 i 34 rodo). Stopień ryzyka będzie także implikował konieczność przeprowadzenia oceny skutków dla ochrony danych osobowych i w niektórych sytuacjach zajdzie konieczność skonsultowania się z organem nadzorczym (art. 35 i 36 rodo).

Przepisy rodo nie wskazują wprost konkretnej metody przeprowadzania oceny ryzyka. Każdy podmiot musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy zakres i rodzaj danych oraz cel ich przetwarzania. Jednym ze skutecznych systemowych sposobów dokonywania oceny ryzyka jest wdrożenie w danej jednostce procesu zarządzania ryzykiem. Wielu organizacjom może to sprawić problem. Pewnym ułatwieniem jest więc skorzystanie z poradnika przygotowanego przez Generalnego Inspektora Ochrony Danych Osobowych (obecnie Prezesa Urzędu Ochrony Danych).

Ocena skutków przetwarzania danych osobowych

Rodo wymaga od podmiotów przetwarzających dane osobowe, aby przeprowadzały analizy wpływu działań na danych osobowych na ryzyko naruszenia praw i wolności osób, których dane te dotyczą. Wymagania te ujęte zostały w obowiązku przeprowadzania oceny skutków przetwarzania dla ochrony danych osobowych, zwanym popularnie PIA (od Privacy Impact Assessment) lub DPIA (od Data Protection Impact Assessment). Zgodnie z art. 35 rodo ocena skutków dla ochrony danych osobowych (DPIA) to proces mający opisać przetwarzanie, ocenić niezbędność i proporcjonalność przetwarzania oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych. 

[...]

Autor jest architektem bezpieczeństwa IT, członkiem Polskiego Towarzystwa Informatycznego.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej