Kalendarz SECURITY

Maj 2017
P W Ś C Pt S N
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4

Partnerzy portalu

slide2 slide3 slide4

Login Form

Redaktor naczelny

piotr blaszczecPiotr Błaszczeć- specjalista ds. bezpieczeństwa IT, audytor systemów IT, Lead auditor ISO 27001, 20000, 22301 jednostki certyfikacyjnej CIs CERT i Quality Austria, biegły sądowy z zakresu przestępst przy użyciu sieci komputerowych, Administrator Bezpieczeństwa informacji w kilku podmiotach sektora prywatnego i publicznego, członek ISACA, ISSA, IIC, IIS, SABI.
e-mail:
www.blaszczec.pl

giodoGIODO udostępnia polską wersję językową wytycznych w tej sprawie i zaprasza do zgłaszania uwag. Wytyczne dotyczące oceny skutków dla ochrony danych są jednym z bardziej wyczekiwanych dokumentów Grupy Roboczej Art. 29.

Ocena skutków dla ochrony danych – mimo że nie jest zupełnie nowym mechanizmem w systemie ochrony danych (czego przykładem są chociażby zalecenia Komisji Europejskiej w zakresie oceny wpływu na prywatność systemów inteligentnego opomiarowania smart grid) – stanowi bardzo duże wyzwanie dla administratorów danych oraz organów nadzorczych. Jest bowiem jednym z kluczowych elementów zapewniania zgodności z przepisami rozporządzenia, a jego realizacja wymaga bardzo wnikliwej analizy wszystkich procesów przetwarzania danych u danego administratora, ze szczególnym uwzględnieniem ryzyka związanego z tym przetwarzaniem.

Już teraz wielu administratorów danych zadaje sobie pytanie, kiedy właściwie należy rozpocząć przeprowadzanie oceny skutków dla ochrony danych (ang. Data Protection Impact Assessment, DPIA). Czy wobec prowadzonych już operacji przetwarzania, które będą kontynuowane pod reżimem ogólnego rozporządzenia o ochronie danych osobowych (RODO), ocena skutków jest niezbędna?

Grupa Robocza Art. 29 zdecydowanie zaleca dokonanie oceny skutków dla operacji przetwarzania już trwających przed 25 maja 2018 r. Niemniej, zdaniem europejskich organów ochrony danych, przeprowadzenie oceny skutków dla ochrony danych jest niezbędne dopiero dla operacji prowadzonych po 25 maja 2018 r. lub operacji, które zostały znacząco zmienione. Wymóg dokonania DPIA dotyczy operacji przetwarzania spełniających kryteria wskazane w artykule 35 i rozpoczętych po tym, jak RODO zacznie mieć zastosowanie w dniu 25 maja 2018 r., czytamy w wytycznych. Ponadto ocena skutków miałaby miejsce, gdy w operacji przetwarzania dochodzi do istotnej zmiany, kiedy np. została wprowadzona do użytku nowa technologia, dane osobowe są wykorzystywane w innym celu lub też administrator danych zdecydował o rozpoczęciu transferu tych danych do państwa trzeciego. Jak podkreślono w wytycznych, w tego typu przypadkach przetwarzanie staje się w rezultacie nową operacją przetwarzania danych i może wymagać DPIA.

Zapraszamy do lektury polskiej wersji wytycznych dotyczących oceny skutków dla ochrony danych i przypominamy, że trwają obecnie publiczne konsultacje tego dokumentu. Czekamy na uwagi wszystkich zainteresowanych podmiotów do 19 maja 2017 r.

Załączone pliki:

Plik w formacie .pdf [2023 kB] Wytyczne dotyczące oceny skutków dla ochrony danych  

[źródło: GIODO]