Kiedy należy przeprowadzić analizę DPIA?

  • w przypadku  wysokiego ryzyka dotyczącego danych osobowych w zakresie atrybutów poufności, integralności lub dostępności,
  • w przypadku incydentu dotyczącego danych osobowych,
  • w przypadku, gdy  analiza wynika z obowiązku prawnego (rozporządzenie prezesa UODO)

Jak oceniać w przypadku identyfikacji wysokiego ryzyka?

Zasada jest prosta, jeżeli oceniane przez nas ryzyko wskazuje prawdopodobne skutki utraty jednego z atrybutów

  • poufności,
  • integralności,
  • dostępności.

Ocenę należy odnieść do typów danych osobowych, które mogą zostać narażone, przykładowo:

  • wizerunek – ryzyko wykorzystania zdjęć w celu udostępnienia złośliwych memów,
  • e-mail – zwiększona ilość spamu, phishing,
  • PESEL, adres, imię i nazwisko – kradzież tożsamości, utrata środków finansowych, nieuprawnione zawarcie umów.

 

Co dalej?

Dodatkowo należy przeanalizować proces, w którym wykorzystywane są dane osobowe.
Przykładowo:

Ryzyko: modyfikacja bazy pacjentów szpitala, w której przechowywana jest informacja o lekach i dawkowaniu.

Negatywny skutek: pogorszenie stanu zdrowia, śmierć.

Czy to koniec?

Nie, musimy pamiętać, że ocena DPIA może pomimo zastosowanych mechanizmów zabezpieczających nadal wykazywać poziom nieakceptowalny.

W takim przypadku niezbędne są konsultacje z UODO.

Jednak zanim napiszesz do UODO, skontaktuj się z nami, może już mamy pomysł jak u Ciebie obniżyć ryzyko.

Informacje kontaktowe

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa

IMNS Consulting
tel: 71 797 77 20

O serwisie

Serwis IMNS Polska poświęcony rozwiązaniu AnRisk, będącemu częścią szerszej oferty konsultingowej zespołu IMNS Consulting.

Rozwiązania i usługi  w ofercie IMNS

Audyty bezpieczeństwa
Polityka bezpieczeństwa informacji
Zarządzanie ryzykiem
Zarządzanie ciągłością działania
Wdrażanie regulacji branżowych
Testy bezpieczeństwa