Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.
Dowiedz się m.in.:
w jakiej formie dokumentować analizę ryzyka,
czym jest strategia ciągłości działania
co należy dokumentować w ramach DPIA,
jak dokumentować DPIA – na przykładzie.
Ogólna ocena ryzyka nie musi być sporządzana w określonej formie. Niemniej jednak związku z zasadą rozliczalności najlepiej ogólną analizę ryzyka wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
W przypadku ogólnej oceny ryzyka administrator powinien wybrać jedną z metodologii, która pozwoli na rzetelną ocenę. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji. Jej polskim odpowiednikiem jest norma PN-ISO/IEC 17799:2007. W kontekście dokumentowania należy zwrócić tu uwagę na takt, że norma ta wskazuje zabezpieczenie w postaci procesu autoryzacji nowej infrastruktury, w której będą przetwarzane informacje. Innymi słowy każdy system, który będzie przetwarzał informacje, jeszcze przed jego wprowadzeniem do stosowania powinien być przetestowany pod kątem bezpieczeństwa.
Zalecane są takie rozwiązania jak
Oczywiście należy je udokumentować.
Ważnym dokumentem, który należy wytworzyć w związku z ogólna analizą ryzyka, jest strategia ciągłości działania. Dokument ten stanowi plan działa mających na celu zapobieżenie przerwaniu procesów biznesowych firmy, w ramach których dochodzi do przetwarzania danych osobowych.
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 RODO).
Ocena skutków dla ochrony danych powinna zawierać:
Dokumentowanie oceny skutków należy rozpocząć od fazy organizacyjnej. Należy zarejestrować informacje:
Następnie zespół oceniający powinien zweryfikować zapotrzebowanie w zakresie zewnętrznych analiz czy ekspertyz i wystąpić o przyznanie określonego budżetu. Należy w szczególności udokumentować fakt obcięcia tego budżetu lub nieprzyznania go na określone zadanie.
Udokumentowane powinny być również wszelkie wnioski spływające do zespołu oceniającego, – zarówno ze strony samego administratora, inspektora ochrony danych, ekspertów zewnętrznych, jak i członków personelu administratora. To samo dotyczy pozyskiwanych opinii i stanowisk.
Jeżeli w ocenach wystąpi rozbieżność, wówczas w dokumentacji należy wyjaśnić, dlaczego i które oceny przeważyły jako podstawa do podjętych decyzji czy wybranych opcji.
Prezes Urzędu Ochrony Danych Osobowych corocznie ogłasza w formie komunikatu wykaz rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Aktualnie przykładami takich operacji są: oferowanie przez zakłady ubezpieczeń zniżek związanych ze stylem życia czy prowadzenie przez zakłady pracy monitoringu systemów informatycznych czy poczty elektronicznej.
W przypadkach takich operacji przeprowadzenie oceny skutków jest konieczne. Będąc tego świadomy, administrator powinien położyć szczególny nacisk na precyzyjne udokumentowanie działań podejmowanych w toku oceny skutków.
W jaki sposób dokumentować DPIA? Najlepiej wyjaśnić to na przykładzie.
Jednym z rozwiązań stosowanych przez organizację w toku oceny skutków dla ochrony danych było przeprowadzanie konsultacji. Powstało pytanie – czy wystarczy w celu udokumentowania konsultacji przedstawić anonimowe ankiety?
Organizacja słusznie uznała, że nie było to konieczne. Nie ma bowiem konieczności przechowywania spersonalizowanych ankiet zawierających dane osób, które wyraziły swoją opinie. Wystarczy więc przechowywać anonimowe ankiety. Art. 35 ust. 7 RODO nie wymaga, by takie ankiety były przypisane konkretnym osobom. Co więcej, jak wynika ze stanowiska Grupy Roboczej Art. 29, opinia dotycząca sposobu przetwarzania może być pozyskiwana na różne sposoby np. poprzez wewnętrzne lub zewnętrzne badania czy formalne zapytania do przedstawicieli pracowników lub związków zawodowych. Jeśli:
Jeśli jednak administrator uzna, że pozostawienie danych osobowych osób ankietowanych jest celowe, wówczas oczywiście może to zrobić. Wtedy jednak przetwarza dane osobowe i musi dopełnić wszystkich obowiązków wynikających z RODO, takich jak pobranie zgody na przetwarzanie, realizacja obowiązku informacyjnego itp. w tym wskazanie okresu przechowywania danych (tu: okres, przez jaki ocena skutków dla ochrony danych będzie aktualna ze względu na stosowany u danego administratora rodzaj przetwarzania danych osobowych, ewentualnie z dopiskiem „nie później jednak niż przez … lat”.
Natomiast jeśli administrator wyciągnie wnioski inne niż wynikające z ankiet, wówczas dodatkowo będzie musiał udokumentować powód podjęcia bądź niepodjęcia tej decyzji. Innymi słowy, dokumentacja oceny skutków powinna wówczas zawierać uzasadnienie, dlaczego administrator postąpił inaczej niż w sposób wynikający z zebranych opinii. Przykładowym argumentem może być twierdzenie, że uwzględnienie głosów ankietowanych generowałoby zagrożenie dla bezpieczeństwa jednostki organizacyjnej.
W toku przeprowadzanej oceny skutków dla ochrony danych administrator powinien przestrzegać zatwierdzonych kodeksów postępowania (art. 35 ust. 8 RODO).
Kodeksy postępowania mają, uwzględniając specyfikę różnych branż, pomóc we właściwym stosowaniu RODO. Więcej o nich przeczytasz tutaj>>
Oczywiście kwestia ta musi być uwzględniona w dokumentacji DPIA. Należy umieścić w niej analizę porównawczą różnych środków ochrony danych osobowych pod kątem ich zgodności z kodeksem obowiązującym w branży, w której działa dany administrator.
W dokumentacji należy również wskazać korzystanie z mechanizmów certyfikacji, znaków jakości i oznaczeń i innych instrumentów, o których mowa w art. 42 ust. 1 RODO. Dokumentacja powinna zawierać wyjaśnienie, jak proponowane środki mają się do certyfikacji, znaków jakości czy oznaczeń.
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 5, art. 24, art. 35, art. 42, art. 50.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
