Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



29.04.2021

KasperskyOS

Podczas targów Hannover Messe zaprezentowano rozwiązanie Kaspersky IoT Secure Gateway 100...
29.04.2021

Serwery OVHcloud

Scale i High-Grade
29.04.2021

NaaS od Cisco

Cisco Plus
29.04.2021

Inwestycja Google'a w Polsce

Google Cloud
29.04.2021

Usługa od AWS i RedHata

ROSA
29.04.2021

Samsung

Samsung prezentuje nowe serie monitorów dla biznesu i profesjonalistów.
29.04.2021

Tęczowe Maki

iMac na M1
29.04.2021

Polska drukarka 3D

Zmorph i500
29.04.2021

W ekosystemie Microsoftu

Surface Laptop 4

Zasady privacy by design oraz default w tworzeniu oprogramowania

Data publikacji: 29-04-2021 Autor: Bartosz Jussak, Damian Łapka

W poprzednim numerze „IT Professional” poruszona została kwestia wytycznych w sprawie uwzględnienia zasad privacy by design oraz default, których finalną wersję Europejska Rada Ochrony Danych przyjęła w październiku 2020 r. Tym razem poświęcimy uwagę konkretnym działaniom, jakie mogą podjąć podmioty.

 

U względnienie zasad DPbDD opiera się na wdrożeniu odpowiednich środków technicznych i organizacyjnych wraz z szeregiem czynników wymienionych w art. 25 ust. 1 i 2 rodo. Wiele rekomendacji w tym zakresie odnaleźć można w wytycznych EROD, a także w treści wytycznych organów nadzorczych: norweskiego (Datatilsynet – datatilsynet.no), hiszpańskiego (Agencia Española de Protección de Datos – www.aepd.es) oraz francuskiego (CNIL – www.cnil.fr) w sprawie tworzenia oprogramowania zgodnie z zasadami DPbDD. Poniższe propozycje, rozbite na elementy, jakie powinny zostać uwzględnione w stosunkach zewnętrznych oraz wewnętrznych podmiotu dążącego do uwzględniania zasad DPbDD w swoim przedsiębiorstwie, oparte są o sugestie zawarte w przedmiotowych wytycznych sporządzonych przez ww. organy. Podkreślenia wymaga, że poniższa lista nie jest wyczerpująca i powinna uwzględniać specyfikę działalności danego podmiotu.

> Działania podmiotu zewnętrznie

Działania podejmowane zewnętrznie dotyczą stosunków umownych łączących administratorów oraz podmioty przetwarzające i producentów oprogramowania (niejednokrotnie będzie to ten sam podmiot), a także informacji przekazywanych przez te podmioty potencjalnym klientom.

Z perspektywy administratorów działania te obejmują w szczególności:

 

  • wybór podmiotów o ugruntowanej pozycji;
  • wybór takich dostawców oprogramowania lub podmiotów przetwarzających, których systemy wspierają DPbDD lub umożliwiają uwzględnienie tych zasad przez administratora;
  • zapewnienie w zawieranych umowach, iż środki techniczne zastosowane w systemie są adekwatne, w szczególności że spełniają aktualny stan wiedzy technicznej (w tym zobowiązanie dostawcy lub podmiotu przetwarzającego do informowania   administratora o wszelkich zmianach „aktualnego stanu wiedzy”, które mogą wpływać na skuteczność stosowanych przez nich środków);
  • wymaganie od producentów i podmiotów przetwarzających wykazania, w jaki sposób ich sprzęt, oprogramowanie, usługi lub systemy pozwalają administratorowi zachować zgodność z wymaganiami dotyczącymi rozliczalności (na przykład za pomocą wskaźników KPI w celu wykazania skuteczności środków i zabezpieczeń dla wdrażania zasad ochrony danych i praw podmiotów danych);
  • wymaganie od producentów danego produktu informatycznego zmapowania procesów i funkcjonalności tego produktu obejmujących przetwarzanie danych osobowych;
  • wymaganie od producentów systemów informatycznych przyjęcia metodologii tworzenia oprogramowania uwzględniających zasady DPbDD (np. Secure Software Development Life Cycle, OWASP);
  • regularne weryfikowanie i dokonywanie oceny operacji wykonywanych przez podmioty przetwarzające;
  • w przypadku transferu danych osobowych do państw trzecich (tj. poza obszar Europejskiego Obszaru Gospodarczego – EOG), np. w przypadku hostingu, ustalenie jurysdykcji krajowej, pod którą dane osobowe będą podlegać po przekazaniu (w tym dokonanie oceny przepisów obowiązujących w tym państwie w zakresie ochrony danych osobowych), zweryfikowanie przez administratora, czy dane transferowane poza EOG są adekwatne, stosowne i ograniczone do tego, co jest niezbędne w świetle celów, w jakich są one przekazywane;
  • pozyskiwanie profesjonalnej pomocy i wsparcia w zakresie oceny spełniania przez systemy zasad DPbDD (w tym, jeżeli administrator wyznaczył inspektora ochrony danych – zaangażowanie go w projekty związane z wdrożeniem czy wykorzystaniem systemów informatycznych przetwarzających dane osobowe);
  • informowanie podmiotów danych w sposób przejrzysty i zrozumiały o tym, jak ich dane osobowe są zbierane, wykorzystywane i udostępniane przez administratora (w tym zakresie możliwe zastosowanie podejścia warstwowego udostępniania informacji, w tym stosowanie list rozwijanych, pop-upów i linków do materiałów objaśniających bardziej skomplikowane zagadnienia oraz wykorzystanie materiałów wideo i infografik).

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"