Kontinuálne zlepšovanie GDPR

    KROK 7 RIADENIE RIZÍK

    Rozsah posúdenie  vplyvu na ochranu osobných údajov (DPIA) rozširuje doterajšiu analýzu rizík. DPIA posudzuje riziká pre práva a slobody dotknutých osôb a následne pre vysoké riziká sa nastavujú organizačné a technické opatrenia na riešenie rizík vrátane záruk a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom.

    Ak je pravdepodobné, že spracovanie bude mať za následok vysoké riziko pre práva a slobody fyzických osôb (napr: pri systematickom, rozsiahlom a automatizovanom profilovaní osôb, rozsiahlom spracovaní citlivých osobných údajov alebo rozsiahlom, systematickom monitorovaní verejne prístupných   miest), Prevádzkovateľ pred spracúvaním  vykoná posúdenie vplyvu plánovaných spracovateľských operácií na ochranu OÚ.

    Posúdenie obsahuje najmä:

    • systematický opis plánovaných spracovateľských operácií a účely spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ;
    • posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu;
    • posúdenie rizika pre práva a slobody dotknutých osôb a
    • opatrenia na riešenie rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na    zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto nariadením.

    DPIA popisuje vnútorné a vonkajšie prostredia, v ktorom sa organizácia spracováva osobné údaje. Následne vykonáva identifikácia aktív a posúdenie rizika. Riziko je kalkulované zo vstupných parametrov hrozba, zraniteľnosť a pravdepodobnosť. Ošetrenie rizika je vykonávanie cyklického procesu pozostávajúceho z nasledujúcich zložiek:

    • posúdenia ošetrenia rizika,
    • posúdenie prijateľnosti zvyškového rizika
    • vytvorenia nového ošetrenia rizika, pokiaľ úroveň rizika nie je prijateľná,
    • posúdenia účinnosti ošetrenia.

    Nariadenie umožňuje posudzovať skupiny aplikácií, nie je nutné vykonávať DPIA pre každú aplikáciu.

    Návrh procesu DPIA musí byť navrhnutý tak, aby spoločnosť bola v budúcnosti schopná opakovane vykonávať analýzu a na základe rizikového faktoru bola schopná prijímať opatrenia na zníženie rizík. Dôležitý rozdiel medzi analýzou rizík podľa starého zákona 122/2013 je v tom, že boli skúmané dopady na spoločnosť. V GDPR sa posudzujú dopady na dotknutú osobu a následne na spoločnosť. Metodika riadenia rizík vrátane DPIA vychádza zo štandardných metodík ISO 31000 a ISO 27005.        

    © Copyright 2017. All Rights Reserved, gdpr-2018.sk Webdesign by Initpro.sk

    Táto web stránka používa k poskytovaniu služieb, personalizácii reklám a analýze návštevnosti súbory cookie. Používaním tejto webstránky s tým súhlasíte. Ďakujeme.

    Súhlasím