Potrzeba wykonania oceny DPIA

Na stronie Analiza DPIA przedstawiliśmy zasady naszej metodyki.  Tutaj przedstawiamy realizacje metodyki zarządzania ryzykiem w aplikacji AnRisk.

DPIA i RODO

Rozporządzenie wskazuje przypadki, w których powinniśmy wykonać ocenę skutków.

Przed rozpoczęciem oceny DPIA zachęcamy do zapoznania się z preambułami RODO Nr 89, 90, 91, 92, 93, 94, 95 oraz Artykułami 33, 34, a zwłaszcza Art 35.

Ocena skutków dla ochrony danych

Jeżeli dany rodzaj przetwarzania … może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

 

1

Kontrola wartości oceny atrybutów

Wskazówką potrzeby dokonania oceny skutków jest weryfikacja poziomów ryzyka wskazanego w:

  • poufności,
  • integralności,
  • dostępności.

Jeżeli ta wartość przekracza wartość 3, koniecznie powinniśmy przeprowadzić ocenę skutków dla danych osobowych.

2

Identyfikacja skutków ryzyka

Zgodnie z przyjętą metodyką przeprowadzamy ocenę biorąc pod uwagę:

  • typ danych,
  • proces i czynności, w których przetwarzane są dane osobowe.

3

Ocena poziomu ryzyka

Stosując skalę 5 stopniową dopisujemy odpowiedni poziom do zidentyfikowanego ryzyka.

Wartości skali mogą być indywidualnie modyfikowane. W standardowym ustawieniu oznaczają:

  • Ryzyko nie dotyczy danych osobowych.
  • Ryzyko nie generuje ryzyka naruszenia praw lub wolności.
  • Niskie ryzyko naruszenia praw lub wolności.
  • Znaczące ryzyko naruszenia praw lub wolności.
  • Wysokie ryzyko naruszenia praw lub wolności.

Uzupełnienie wymagań dotyczących przeprowadzanej oceny DPIA

Wymagania zawarte w Artykule 35  pkt 7. realizowane są w zakładce konfiguracji procesu.

Wykorzystanie DPIA do analizy incydentu

Każdy incydent musi zostać oceniony pod kątem:

  • utraty poufności, modyfikacji danych oraz utarty dostępności,
  • zastosowanych mechanizmów zabezpieczających,
  • wymiany danych z innymi systemami,
  • wystąpienia negatywnych skutków dla właściciela danych osobowych.

Zgłoszenie naruszenia ochrony danych osobowych

Prawny obowiązek informowania występuje w przypadku stwierdzenia naruszenia skutkującego naruszeniem praw lub wolności osób fizycznych.  (Artykuł 33 RODO).

Zgłoszenie to przekazuje się organowi nadzorczemu (UODO) w czasie 72 godzin od wykrycia naruszenia.

 

Zawiadomienie osoby, której dane dotyczą, o naruszeniu danych osobowych

W przypadku gdy naruszenie może powodować wysokie ryzyko, naruszenia praw lub wolności osób fizycznych, jesteśmy zobowiązani poinformować osobę o takim naruszeniu.

Aplikacja AnRisk Odtworzenie procesów Ocena ryzyka Ocena DPIA Plan postępowania z ryzykiem Raportowanie Moduły dodatkowe

IMNS

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław
NIP: 8971678341

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa