Typowy firewall stosowany powszechnie a służący wyłącznie do monitorowanie, ograniczania czy przekierowania ruchu sieciowego nie wymaga przeprowadzenia oceny skutków dla ochrony danych osobowych. Taki firewall podlega jedynie ogólnej ocenie ryzyka przetwarzani danych osobowych.
RODO przewiduje:
Ogólna ocena ryzyka to obligatoryjny dla wszystkich administratorów osobowych wymóg sprawdzenia, czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na ADO ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam ADO musi dokonywać okresowej ogólne oceny ryzyk zagrażających temu przetwarzania. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów RODO, to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Obowiązek dokonania ogólnej oceny ryzyka przetwarzania danych osobowych dotyczy wszystkich ADO, bez względu na ich wielkość czy zakres działalności.
Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.
Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:
Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.
Art. 35 ust. 7 RODO wymaga, aby ocena zawierała:
Należy pamiętać, że o ile przed RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć) o tyle po RODO ważne będzie to aby nie dochodziło do naruszeń danych osobowych. Firewall nie jest nową technologią i – przynajmniej w formie w jakiej jest powszechnie stosowany – nie generuje raczej wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. W związku z powyższym wystarczające jest poddanie stosowania zapory ogniowej ogólnej ocenie ryzyka przetwarzania danych osobowych.
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
© Portal Poradyodo.pl