Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

Zasady privacy by design oraz default w tworzeniu oprogramowania

Data publikacji: 29-04-2021 Autor: Bartosz Jussak, Damian Łapka

W poprzednim numerze „IT Professional” poruszona została kwestia wytycznych w sprawie uwzględnienia zasad privacy by design oraz default, których finalną wersję Europejska Rada Ochrony Danych przyjęła w październiku 2020 r. Tym razem poświęcimy uwagę konkretnym działaniom, jakie mogą podjąć podmioty.

 

U względnienie zasad DPbDD opiera się na wdrożeniu odpowiednich środków technicznych i organizacyjnych wraz z szeregiem czynników wymienionych w art. 25 ust. 1 i 2 rodo. Wiele rekomendacji w tym zakresie odnaleźć można w wytycznych EROD, a także w treści wytycznych organów nadzorczych: norweskiego (Datatilsynet – datatilsynet.no), hiszpańskiego (Agencia Española de Protección de Datos – www.aepd.es) oraz francuskiego (CNIL – www.cnil.fr) w sprawie tworzenia oprogramowania zgodnie z zasadami DPbDD. Poniższe propozycje, rozbite na elementy, jakie powinny zostać uwzględnione w stosunkach zewnętrznych oraz wewnętrznych podmiotu dążącego do uwzględniania zasad DPbDD w swoim przedsiębiorstwie, oparte są o sugestie zawarte w przedmiotowych wytycznych sporządzonych przez ww. organy. Podkreślenia wymaga, że poniższa lista nie jest wyczerpująca i powinna uwzględniać specyfikę działalności danego podmiotu.

> Działania podmiotu zewnętrznie

Działania podejmowane zewnętrznie dotyczą stosunków umownych łączących administratorów oraz podmioty przetwarzające i producentów oprogramowania (niejednokrotnie będzie to ten sam podmiot), a także informacji przekazywanych przez te podmioty potencjalnym klientom.

Z perspektywy administratorów działania te obejmują w szczególności:

 

  • wybór podmiotów o ugruntowanej pozycji;
  • wybór takich dostawców oprogramowania lub podmiotów przetwarzających, których systemy wspierają DPbDD lub umożliwiają uwzględnienie tych zasad przez administratora;
  • zapewnienie w zawieranych umowach, iż środki techniczne zastosowane w systemie są adekwatne, w szczególności że spełniają aktualny stan wiedzy technicznej (w tym zobowiązanie dostawcy lub podmiotu przetwarzającego do informowania   administratora o wszelkich zmianach „aktualnego stanu wiedzy”, które mogą wpływać na skuteczność stosowanych przez nich środków);
  • wymaganie od producentów i podmiotów przetwarzających wykazania, w jaki sposób ich sprzęt, oprogramowanie, usługi lub systemy pozwalają administratorowi zachować zgodność z wymaganiami dotyczącymi rozliczalności (na przykład za pomocą wskaźników KPI w celu wykazania skuteczności środków i zabezpieczeń dla wdrażania zasad ochrony danych i praw podmiotów danych);
  • wymaganie od producentów danego produktu informatycznego zmapowania procesów i funkcjonalności tego produktu obejmujących przetwarzanie danych osobowych;
  • wymaganie od producentów systemów informatycznych przyjęcia metodologii tworzenia oprogramowania uwzględniających zasady DPbDD (np. Secure Software Development Life Cycle, OWASP);
  • regularne weryfikowanie i dokonywanie oceny operacji wykonywanych przez podmioty przetwarzające;
  • w przypadku transferu danych osobowych do państw trzecich (tj. poza obszar Europejskiego Obszaru Gospodarczego – EOG), np. w przypadku hostingu, ustalenie jurysdykcji krajowej, pod którą dane osobowe będą podlegać po przekazaniu (w tym dokonanie oceny przepisów obowiązujących w tym państwie w zakresie ochrony danych osobowych), zweryfikowanie przez administratora, czy dane transferowane poza EOG są adekwatne, stosowne i ograniczone do tego, co jest niezbędne w świetle celów, w jakich są one przekazywane;
  • pozyskiwanie profesjonalnej pomocy i wsparcia w zakresie oceny spełniania przez systemy zasad DPbDD (w tym, jeżeli administrator wyznaczył inspektora ochrony danych – zaangażowanie go w projekty związane z wdrożeniem czy wykorzystaniem systemów informatycznych przetwarzających dane osobowe);
  • informowanie podmiotów danych w sposób przejrzysty i zrozumiały o tym, jak ich dane osobowe są zbierane, wykorzystywane i udostępniane przez administratora (w tym zakresie możliwe zastosowanie podejścia warstwowego udostępniania informacji, w tym stosowanie list rozwijanych, pop-upów i linków do materiałów objaśniających bardziej skomplikowane zagadnienia oraz wykorzystanie materiałów wideo i infografik).

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"