PIA – narzędzie RODO

PIA – Ocena skutków przetwarzania danych osobowych

Po wejściu w życie przepisów związanych z Rozporządzeniem ochrony danych osobowych w skrócie RODO wiele firm zastanawia się i analizuje w jaki sposób usystematyzować proces dokonywania oceny skutków przetwarzania danych osobowych (PIA – Privacy Impact Assesment lub DPIA Data Privacy Imapct Assesment).

Rozporządzenie RODO wprowadza podejście oparte na ciągłej analizie ryzyka i skutków przetwarzania danych osobowych. Regulator zaznacza, że wykonywanie DPIA nie jest obowiązkowe dla każdej operacji przetwarzania danych. DPIA jest wymagane jedynie, gdy przetwarzanie jest „prawdopodobnym zagrożeniem dla praw i wolności osób fizycznych” [art. 35(1) RODO].
Co ciekawsze regulator nie określił w jaki sposób PIA / DPIA ma być wykonywane. Nie mając precyzyjnych wytycznych, to na firmie ciąży obowiązek zaprojektowania procesu w taki sposób, aby mogła ona udowodnić, że obowiązki w tym zakresie wynikające z RODO zostały wypełnione.

 

W jaki sposób wykonywać PIA / DPIA?

Warto w tym temacie przyjrzeć się aplikacji PIA, jaką stworzył francuski organ nadzorczy CNIL Commission Nationale Informatique et Liberté, dla wsparcia administratorów danych w ich staraniach o zgodność z RODO. CNIL to odpowiednik naszego UKNF – Urząd Komisji Nadzoru Finansowego. Narzędzie PIA jest wolne i otwarte (Licencja GPLv3 : https://www.gnu.org/licenses/gpl.html). Można uczestniczyć w pracy nad nim pobierając kod źródłowy z Github, modyfikując go i rozpowszechniając wśród zainteresowanych. Ważną zaletą aplikacji jest to, że wśród 14 języków na jaki została przetłumaczona znajduje się również język polski, co znacząco upraszcza jest zastosowanie w polskich firmach. Aplikacja jest bardzo intuicyjna i prowadzi użytkownika „ze rękę”, dzięki poszczególnym krokom procesu oraz bazie wiedzy dostępnej na każdym etapie procesu. Na jego końcu powstaje lista poszczególnych PIA, którą możemy w łatwy sposób wyeksportować z aplikacji czy to do Excela czy do pliku json.

 

Oprogramowanie PIA – funkcjonalności

Aplikacja PIA składa się z 4 etapów procesu nazwanych: kontekst, podstawowe zasady, ryzyka, zatwierdzenie.

PIA - Screen (Privacy Impact Assesment)

 

Kontekst – ten etap procesu składa się z 2 sekcji:

  • Przegląd – ta sekcja pozwala zidentyfikować i przedstawić przedmiot oceny.
  • Dane, procesy i aktywa – ta sekcja pozwala zdefiniować i szczegółowo opisać zakres przetwarzania.

Podstawowe zasady – ten etap procesu składa się z 2 sekcji:

  • Proporcjonalność i konieczność – ta sekcja pozwala wykazać, że wdrażane są środki niezbędne dla wykonywania praw osób, których dane dotyczą.
  • Środki ochrony praw osób, których dane dotyczą – ta sekcja pozwala wykazać, że wdrażane są środki niezbędne dla wykonywania praw osób, których dane dotyczą.

Ryzyka – ten etap procesu składa się z 4 sekcji:

  • Środki istniejące lub przewidziane – ta sekcja pozwala zidentyfikować środki (istniejące lub przewidziane), które mają wpływ na bezpieczeństwo danych.
  • Nieupoważniony dostęp do danych – należy dokonać analizy przyczyn i konsekwencji nieupoważnionego dostępu do danych i oszacować jego istotność oraz prawdopodobieństwo.
  • Niepożądana modyfikacja danych – należy dokonać analizy przyczyn i konsekwencji niepożądanej modyfikacji danych i oszacować jego istotność oraz prawdopodobieństwo.
  • Zniknięcie danych – należy dokonać analizy przyczyn i konsekwencji utraty danych i oszacować jego istotność oraz prawdopodobieństwo.

Na końcu tego etapu procesu powstaje obraz ryzyka. To graficzna wizualizacja pozwala uzyskać globalny i syntetyczny obraz działania środków na ryzyka, na które mają wpłynąć.

 

PIA - Screen (Privacy Impact Assesment)

Zatwierdzenie – ten etap procesu składa się z 3 sekcji:

  • Mapa ryzyka – ta wizualizacja pozwala porównać wzajemne pozycjonowanie się ryzyka, przed i po wdrożeniu dodatkowych środków.
  • Plan działania – należy szczegółowo zaplanować wdrożenie dodatkowych środków określonych w trakcie PIA.
  • Opinie IODO i osób, których dane dotyczą – w tej sekcji IODO może wyrazić swoje opinie na temat poszczególnych punktów i zatwierdzić lub nie cała analizę PIA dla danego elementu.

Aplikacja PIA jest dostępna zarówno w wersji desktopowej jak i webowej. Wersję instalacyjną na różne wersje systemów można pobrać ze strony: https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment, a dokumentacja do uruchomienia aplikacji na dowolnym serwerze w wersji webowej jest dostępna pod adresem: https://github.com/LINCnil/pia-back#installation oraz https://github.com/LINCnil/pia/issues/77

    Leave Your Comment

    Your email address will not be published.*