Ocena skutków przetwarzania dla ochrony danych (DPIA)

Specjalizujemy się w ocenie skutków przetwarzania dla ochrony danych osobowych.

Jesteśmy jedną z niewielu firm, które doradzają w tym zakresie największym podmiotom w Polsce. Ocenę skutków przetwarzania dla ochrony danych przeprowadza się wtedy, gdy z dużym prawdopodobieństwem rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą.

08 lipca 2019 r. został ogłoszony komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. zawierający wykaz rodzajów operacji przetwarzania danych osobowych wymagających przeprowadzenia oceny skutków przetwarzania dla ich ochrony. Takimi operacjami są np. system monitorowania czasu pracy pracowników, przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, Internetu).

Na Administratorów Danych Osobowych, a w efekcie na Inspektorów Ochrony Danych oraz Administratorów Systemów Informatycznych systemów służących do przetwarzania danych osobowych nałożono obowiązek dokonania oceny skutków przetwarzania dla ochrony danych osobowych.

Do oceny skutków dla ochrony danych można wykorzystać taki sam schemat postępowania, jak dla ogólnej oceny ryzyka, uwypuklając w poszczególnych etapach (od opisu kontekstu do postępowania z ryzykiem) te elementy, które mają istotny wpływ na skutki, jakie naruszenie ochrony danych może powodować dla osób, których dane dotyczą.

Celem dokonywania oceny skutków jest szacowanie ryzyka, które rozumiemy jako hipotetyczny scenariusze zdarzeń powodujących wysokie ryzyko, opisane poprzez:

  1. Rodzaj danych osobowych np. dane osobowe klientów.
  2. Źródła ryzyka.
  3. Podatności, które mogą być wykorzystane w zasobach wspomagających przetwarzanie danych osobowych.
  4. Zdarzenie, którego się obawiamy np. wyciek danych osobowych.
  5. Wpływ na osoby, których dane dotyczą np. dyskryminacja, strata finansowa, oczernianie w media społecznościowych.

Stosujemy sprawdzone praktyki i opracowane przez nas metodologie.
Proces oceny skutków najczęściej przeprowadzany jest w poniższych krokach:

t

Kontekst

Zdefiniowanie i opisanie środowiska przetwarzania danych osobowych. Wskazanie celów przetwarzania.

  1. Cele przetwarzania, opis środowiska przetwarzania.
  2. Opis procesów przetwarzania.
  3. Cel, informacje, rodzaj zabezpieczanych praw.
  4. Opis danych osobowych.
  5. Wykaz aktywów wspomagających.
5

Zabezpieczenia

Identyfikacja obecnych oraz planowanych środków zapewniających zgodność z przepisami oraz kontrolujących ryzyka dla prywatności.

 

  1. Wykaz zabezpieczeń dla danych osobowych w aspekcie organizacyjnym, informatycznym i fizycznym.
5

Ryzyka

Ocena ryzyka dla prywatności w celu zapewniania adekwatności i właściwego zaplanowania postępowania z ryzykiem.

  1. Wskazanie źródeł ryzyka. Odpowiadamy na pytania: kto i dlaczego?
  2. Wskazanie podatności.
  3. Opis zdarzeń powodujących ryzyko. Odpowiadamy na pytania: co i w jaki sposób? Dla nieupoważnionego dostępu do danych, niepożądanej modyfikacji oraz zniknięcia danych.
  4. Wskazanie zagrożeń.
  5. Określamy poziomy prawdopodobieństwa.
  6. Opisujemy i szacuje skutki dla osób fizycznych.
R

Decyzja

Podjęcie decyzji o sposobie uzyskania zgodności z zasadami prywatności oraz postępowania z ryzykiem.

  1. Ewaluacja ryzyka.
  2. Wskazanie środków zaradczych – zabezpieczeń.
  3. Opracowanie planów postępowania z ryzykiem.
  4. Opinia IOD.
  5. Opinia osób, których dane dotyczą.
  6. Formalna walidacja.
  7. Jeżeli ryzyko nadal nie jest akceptowalne, konsultacja z organem nadzorczym.