Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



14.07.2021

Platforma AQUILA

IBM zaprezentował platformę opartą na sztucznej inteligencji służącą do kompleksowej, w...
14.07.2021

Przenoszenie Javy do chmury

JBoss Enterprise
14.07.2021

Nowe okna

Windows 11
14.07.2021

Monitoring sieci

nVision 12.5
14.07.2021

Automatyczna ochrona

Nowości w FortiEDR
14.07.2021

Seria monitorów...

Firma Newline prezentuje serię monitorów interaktywnych MIRA.
14.07.2021

Modularne routery IoT

Cisco Catalyst
14.07.2021

Nowy poziom pracy

Radeon PRO W6000
14.07.2021

SI w monitoringu

Kamery i-PRO S-Series

Zasady privacy by design oraz default w tworzeniu oprogramowania

Data publikacji: 29-04-2021 Autor: Bartosz Jussak, Damian Łapka

W poprzednim numerze „IT Professional” poruszona została kwestia wytycznych w sprawie uwzględnienia zasad privacy by design oraz default, których finalną wersję Europejska Rada Ochrony Danych przyjęła w październiku 2020 r. Tym razem poświęcimy uwagę konkretnym działaniom, jakie mogą podjąć podmioty.

 

U względnienie zasad DPbDD opiera się na wdrożeniu odpowiednich środków technicznych i organizacyjnych wraz z szeregiem czynników wymienionych w art. 25 ust. 1 i 2 rodo. Wiele rekomendacji w tym zakresie odnaleźć można w wytycznych EROD, a także w treści wytycznych organów nadzorczych: norweskiego (Datatilsynet – datatilsynet.no), hiszpańskiego (Agencia Española de Protección de Datos – www.aepd.es) oraz francuskiego (CNIL – www.cnil.fr) w sprawie tworzenia oprogramowania zgodnie z zasadami DPbDD. Poniższe propozycje, rozbite na elementy, jakie powinny zostać uwzględnione w stosunkach zewnętrznych oraz wewnętrznych podmiotu dążącego do uwzględniania zasad DPbDD w swoim przedsiębiorstwie, oparte są o sugestie zawarte w przedmiotowych wytycznych sporządzonych przez ww. organy. Podkreślenia wymaga, że poniższa lista nie jest wyczerpująca i powinna uwzględniać specyfikę działalności danego podmiotu.

> Działania podmiotu zewnętrznie

Działania podejmowane zewnętrznie dotyczą stosunków umownych łączących administratorów oraz podmioty przetwarzające i producentów oprogramowania (niejednokrotnie będzie to ten sam podmiot), a także informacji przekazywanych przez te podmioty potencjalnym klientom.

Z perspektywy administratorów działania te obejmują w szczególności:

 

  • wybór podmiotów o ugruntowanej pozycji;
  • wybór takich dostawców oprogramowania lub podmiotów przetwarzających, których systemy wspierają DPbDD lub umożliwiają uwzględnienie tych zasad przez administratora;
  • zapewnienie w zawieranych umowach, iż środki techniczne zastosowane w systemie są adekwatne, w szczególności że spełniają aktualny stan wiedzy technicznej (w tym zobowiązanie dostawcy lub podmiotu przetwarzającego do informowania   administratora o wszelkich zmianach „aktualnego stanu wiedzy”, które mogą wpływać na skuteczność stosowanych przez nich środków);
  • wymaganie od producentów i podmiotów przetwarzających wykazania, w jaki sposób ich sprzęt, oprogramowanie, usługi lub systemy pozwalają administratorowi zachować zgodność z wymaganiami dotyczącymi rozliczalności (na przykład za pomocą wskaźników KPI w celu wykazania skuteczności środków i zabezpieczeń dla wdrażania zasad ochrony danych i praw podmiotów danych);
  • wymaganie od producentów danego produktu informatycznego zmapowania procesów i funkcjonalności tego produktu obejmujących przetwarzanie danych osobowych;
  • wymaganie od producentów systemów informatycznych przyjęcia metodologii tworzenia oprogramowania uwzględniających zasady DPbDD (np. Secure Software Development Life Cycle, OWASP);
  • regularne weryfikowanie i dokonywanie oceny operacji wykonywanych przez podmioty przetwarzające;
  • w przypadku transferu danych osobowych do państw trzecich (tj. poza obszar Europejskiego Obszaru Gospodarczego – EOG), np. w przypadku hostingu, ustalenie jurysdykcji krajowej, pod którą dane osobowe będą podlegać po przekazaniu (w tym dokonanie oceny przepisów obowiązujących w tym państwie w zakresie ochrony danych osobowych), zweryfikowanie przez administratora, czy dane transferowane poza EOG są adekwatne, stosowne i ograniczone do tego, co jest niezbędne w świetle celów, w jakich są one przekazywane;
  • pozyskiwanie profesjonalnej pomocy i wsparcia w zakresie oceny spełniania przez systemy zasad DPbDD (w tym, jeżeli administrator wyznaczył inspektora ochrony danych – zaangażowanie go w projekty związane z wdrożeniem czy wykorzystaniem systemów informatycznych przetwarzających dane osobowe);
  • informowanie podmiotów danych w sposób przejrzysty i zrozumiały o tym, jak ich dane osobowe są zbierane, wykorzystywane i udostępniane przez administratora (w tym zakresie możliwe zastosowanie podejścia warstwowego udostępniania informacji, w tym stosowanie list rozwijanych, pop-upów i linków do materiałów objaśniających bardziej skomplikowane zagadnienia oraz wykorzystanie materiałów wideo i infografik).

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"