Professional Documents
Culture Documents
podmiotu
przetwarzającego
Administrator
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny,
jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala
cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego
przetwarzania są określone w prawie Unii lub w prawie państwa
członkowskiego, to również w prawie Unii lub w prawie państwa
członkowskiego może zostać wyznaczony administrator lub mogą zostać
określone konkretne kryteria jego wyznaczania;
Podmiot przetwarzający
„podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ
publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe
w imieniu administratora;
Klasyfikacja obowiązków
1) obowiązki związane z przestrzeganiem zasad przetwarzania danych
2) obowiązki związane z realizacją uprawnień podmiotów danych
3) obowiązki związane z powierzeniem przestrzegania danych osobowych
4) obowiązki związane z zabezpieczeniem danych
5) obowiązki związane z naruszeniem ochrony danych osobowych
6) obowiązki związane z dokumentacją przetwarzania danych osobowych
7) inne obowiązki
1) Obowiązki związane z przestrzeganiem
zasad przetwarzania danych
Dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane
dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej
w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie
publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest
uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
1) Obowiązki związane z przestrzeganiem
zasad przetwarzania danych
Dane osobowe muszą być:
ETAP 1
Ustanowienie kontekstu dla oceny ryzyka ETAP 1 DPIA
Ustanowienie kontekstu dla oceny skutków
https://uodo.gov.pl/
pl/138/605
Ocena ryzyka
Ustanowienie kontekstu
1Określenie wszystkich informacji i uwarunkowań związanych z działaniem organizacji, w
tym posiadanych aktywów i zadań realizowanych przez konkretną organizację.
W odniesieniu do aktywów informacyjnych, w tym danych osobowych, powinny to być informacje
obejmujące zakres, charakter i cele przetwarzania, a także potencjalne zagrożenia związane z ich
nieuprawnionym ujawnieniem, utratą lub zniszczeniem. Informacje te najogólniej należy podzielić na
wewnętrzne i zewnętrzne.
Należy zidentyfikować i
sklasyfikować wszystkie aktywa
organizacji, które wiążą się z
przetwarzaniem danych
osobowych.
Identyfikacja i klasyfikacja
aktywów w danej organizacji
powinna być przeprowadzana
na takim poziomie
szczegółowości, aby zapewnić
niezbędne informacje
wymagane w procesie
szacowania ryzyka.
Podział aktywów wg PN-ISO/IEC 27005
https://uodo.gov.pl/pl/138/605
Ocena ryzyka
Mechanizmy kontrolne
Wymagania dotyczące zastosowania środków kontroli i bezpieczeństwa oraz
stopień ich wypełnienia
Należy określić:
- Zabezpieczenia organizacyjne (zarządzanie personelem, incydentami,
udziałem stron trzecich – podmiotów przetwarzających)
- Środki kontroli logicznej (anonimizacja, pseudonimizacja, środki kontroli
dostępu, środki wspierające weryfikację danych na etapie ich
wprowadzania itp.
- Środki ochrony fizycznej (dokumentacji papierowej, zagrożenia ze strony
żywiołów itp.)
https://uodo.gov.pl/pl/138/605
Ocena ryzyka
Szacowanie ryzyka
Identyfikacja zagrożeń
https://uodo.gov.pl/pl/138/605
Ocena ryzyka
Szacowanie ryzyka
Identyfikacja występujących podatności
https://uodo.gov.pl/pl/138/605
Ocena ryzyka
Szacowanie ryzyka
Analiza i ocena następstw zmaterializowania się zagrożeń
https://uodo.gov.pl/pl/138/605
https://uodo.gov.pl/pl/138/605
Ocena ryzyka
Szacowanie ryzyka
Określenie listy zidentyfikowanych ryzyk
https://uodo.gov.pl/pl/138/605
Następnie – Ocena skutków dla ochrony
danych osobowych
OCENA jest procesem mającym opisać przetwarzanie, ocenić niezbędność i
proporcjonalność przetwarzania oraz pomóc w zarządzaniu wynikającym z
przetwarzania danych osobowych ryzykiem naruszenia praw lub wolności osób
fizycznych poprzez ocenę ryzyka i ustalenie środków mających mu zaradzić.