Ocena skutków dla ochrony danych (ang. DPIA – Data Privacy Impact Assessment) jest jednym z fundamentów świadomego zarządzania bezpieczeństwem informacji – w tym w szczególności danych osobowych. Stanowi ona wraz z narzędziami oceny ryzyka podstawę do podejmowania właściwych decyzji podczas doboru adekwatnych (w stosunku do zagrożeń) środków technicznych i organizacyjnych wspierających proces ochrony danych. Pozwala ona wykazać, że przetwarzanie danych w obszarach wysokiego ryzyka (np. przetwarzanie danych z wykorzystaniem nowoczesnej technologii) jest bezpieczne (ryzyko jest akceptowalne) oraz zabezpieczone są prawa osób, których dane dotyczą..
Ocena skutków najczęściej wynika wprost z przeprowadzonej wcześniej analizy ryzyka, ale dla zagrożeń oczywistych może stanowić po prostu opis zabezpieczenia danych na podstawie zidentyfikowanych zagrożeń (bez szczegółowych kalkulacji). Ma to szczególne znaczenie gdy istotny jest czas – chociażby podczas wprowadzania pilnych zmian w systemach informatycznych po zidentyfikowaniu usterek mogących doprowadzić do utraty kontroli nad przetwarzanymi danymi.
Nasza firma posiada niezbędne kwalifikacje do przygotowania oceny skutków na podstawie przeprowadzonej dogłębnej analizy ryzyka. W tym celu stosujemy normy: PN-ISO 31000:2018 „Zarządzanie ryzykiem — Wytyczne”, PN-ISO/IEC27005:2014 „Technika informatyczna — Techniki bezpieczeństwa — Zarządzanie ryzykiem w bezpieczeństwie informacji”, oraz PN-ISO/IEC 29134:2018 „Technika informatyczna — Techniki bezpieczeństwa — Wytyczne dotyczące oceny skutków dla prywatności”.
Stosujemy również wytyczne branżowe (sektorowe) przy ocenie ryzyka np. zalecenia Urzędu Ochrony Danych osobowych. Wyniki oceny przedstawiamy w czytelnym raporcie, omawiając je wcześniej każdorazowo z klientem.
Podstawa prawna:
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
