Analiza ryzyka i ocena skutków dla ochrony danych osobowych przetwarzanych w podmiotach sektora publicznego

Wypracowane na szczeblu unijnym Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych oraz uchylenia dyrektywy 95/46/WE wprowadziło nowy, proaktywny model ochrony danych osobowych przetwarzanych w organizacji, oparty na podejściu bazującym na ryzyku. Nałożyło ono na administratorów nowe obowiązki, związane z prowadzeniem analiz ryzyka naruszenia praw i wolności osób, których dane przetwarzają. Biorąc pod uwagę zakres, skalę i kategorie przetwarzanych danych osobowych osób fizycznych, podmioty sektora publicznego stoją przed ogromnym wyzwaniem, by sprostać restrykcjom unijnego ustawodawcy. Dodatkowym utrudnieniem jest często bardzo rozbudowana struktura organizacyjna, skomplikowane procesy przetwarzania, ograniczone środki finansowe i niedostosowane systemy informatyczne. Artykuł porusza kwestie analizy ryzyka i oceny skutków dla ochrony danych osobowych przetwarzanych w sektorze publicznym, służącą spełnieniu wymagań RODO. Kluczową kwestią w tym zakresie jest przyjęcie odpowiedniej metodyki w procesie szacowania ryzyka, bowiem właściwie przeprowadzona, umożliwia wdrożenie zabezpieczeń adekwatnych do potencjalnych zagrożeń.

The European Parliament and Council Regulation (EU) 2016/679 of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data and the repeal of Directive 95/46 / EC, introduced a new one, a proactive model of protection of personal data processed in the organization, based on a risk-based approach. It imposed some new obligations on the administrators, related to conducting analysis of the risk of violation of the rights and freedoms of the persons, whose data they process. Considering the scope, scale and categories of personal data processed, public sector entities face a huge challenge to meet the restrictions of the EU legislator. An additional difficulty is often a very extensive organizational structure, complicated processing processes, limited financial resources and unadjusted IT systems. The article discusses the issues of risk analysis and impact assessment for the protection of personal data processed in the public sector, in order to meet the requirements of the GDPR. The key issue in this respect is the adoption of an appropriate methodology in the risk estimation process, because properly carried out, it enables the implementation of security measures adequate to potential threats.

Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном потоке данных, а также об отмене Директивы 95/46 / EC, разработанной на уровне ЕС, ввел новую, проактивную модель защиты персональных данных, обрабатываемых в организации, на основе подхода, основанного на оценке рисков. Это возложило на контролеров новые обязанности, связанные с проведением анализа риска нарушения прав и свобод лиц, данные которых они обрабатывают. Учитывая объем, масштаб и категории обрабатываемых персональных данных физических лиц, организации государственного сектора сталкиваются с огромной проблемой соблюдения ограничений законодательного органа ЕС. Дополнительной трудностью часто является очень сложная организационная структура, сложные процессы обработки, ограниченные финансовые ресурсы и неадекватные ИТ-системы. В статье рассматриваются вопросы анализа рисков и оценки воздействия на защиту персональных данных, обрабатываемых в государственном секторе, направленных на выполнение требований GDPR. Ключевым вопросом в этом отношении является принятие соответствующей методологии в процессе оценки рисков, поскольку при правильном проведении она позволяет реализовать меры защиты, адекватные потенциальным угрозам.