Identyfikacja potrzeby wykonania oceny DPIA

Na stronie Analiza DPIA przedstawiliśmy zasady naszej metodyki.  Tutaj przedstawiamy realizacje metodyki zarządzania ryzykiem w aplikacji AnRisk.

 

DPIA i RODO

Rozporządzenie wskazuje przypadki, w których powinniśmy wykonać ocenę skutków.

Przed rozpoczęciem oceny DPIA zachęcamy do zapoznania się z preambułami RODO Nr 89, 90, 91, 92, 93, 94, 95 oraz Artykułami 33, 34, a zwłaszcza Art 35.

Ocena skutków dla ochrony danych

Jeżeli dany rodzaj przetwarzania … może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Kontrola wartości oceny atrybutów

Wskazówką potrzeby dokonania oceny skutków jest weryfikacja poziomów ryzyka wskazanego w:

  • poufności,
  • integralności,
  • dostępności.

Jeżeli ta wartość przekracza wartość 3, koniecznie powinniśmy przeprowadzić ocenę skutków dla danych osobowych.

Identyfikacja skutków ryzyka

Zgodnie z przyjętą metodyką przeprowadzamy ocenę biorąc pod uwagę:

  • typ danych,
  • proces i czynności, w których przetwarzane są dane osobowe.

Ocena poziomu ryzyka

Stosując skalę 5 stopniową dopisujemy odpowiedni poziom do zidentyfikowanego ryzyka.

Wartości skali mogą być indywidualnie modyfikowane. W standardowym ustawieniu oznaczają:

  1. Ryzyko nie dotyczy danych osobowych.
  2. Ryzyko nie generuje ryzyka naruszenia praw lub wolności.
  3. Niskie ryzyko naruszenia praw lub wolności.
  4. Znaczące ryzyko naruszenia praw lub wolności.
  5. Wysokie ryzyko naruszenia praw lub wolności.

Uzupełnienie wymagań dotyczących przeprowadzanej oceny DPIA

Wymagania zawarte w Artykule 35  pkt 7. realizowane są w zakładce konfiguracji procesu.

 

Wykorzystanie DPIA do analizy incydentu

Każdy incydent musi zostać oceniony pod kątem:

  • utraty poufności, modyfikacji danych oraz utarty dostępności,
  • zastosowanych mechanizmów zabezpieczających,
  • wymiany danych z innymi systemami,
  • wystąpienia negatywnych skutków dla właściciela danych osobowych.

 

Zgłoszenie naruszenia ochrony danych osobowych

Prawny obowiązek informowania występuje w przypadku stwierdzenia naruszenia skutkującego naruszeniem praw lub wolności osób fizycznych.  (Artykuł 33 RODO).

Zgłoszenie to przekazuje się organowi nadzorczemu (UODO) w czasie 72 godzin od wykrycia naruszenia.

 

Zawiadomienie osoby, której dane dotyczą, o naruszeniu danych osobowych

W przypadku gdy naruszenie może powodować wysokie ryzyko, naruszenia praw lub wolności osób fizycznych, jesteśmy zobowiązani poinformować osobę o takim naruszeniu.

 

 

Informacje kontaktowe

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa

IMNS Consulting
tel: 71 797 77 20

O serwisie

Serwis IMNS Polska poświęcony rozwiązaniu AnRisk, będącemu częścią szerszej oferty konsultingowej zespołu IMNS Consulting.

Rozwiązania i usługi  w ofercie IMNS

Audyty bezpieczeństwa
Polityka bezpieczeństwa informacji
Zarządzanie ryzykiem
Zarządzanie ciągłością działania
Wdrażanie regulacji branżowych
Testy bezpieczeństwa