Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.08.2021

Firma Fortinet rozszerzyła...

Firma Fortinet rozszerzyła ofertę o usługę FortiTrust, która dołączyła do innych usług...
26.08.2021

Aplikacje biznesowe

Ready_™ AppStore
26.08.2021

Automatyzacja chmur...

Integracja z Red Hat Ansible
26.08.2021

Backup kodu źródłowego

GitProtect.io dostępny na Github
26.08.2021

Wsparcie pracy hybrydowej

Zdalny SD WAN
26.08.2021

Nowy monitor Philips 498P9Z

Nowy monitor Philips 498P9Z to model wyposażony w 49-calowy, zakrzywiony panel VA o...
26.08.2021

Wytrzymały punkt dostępowy

D-Link DIS-2650AP
26.08.2021

Ekonomiczne dyski

SSD bez DRAM
26.08.2021

Petabajty pojemności

Serwery QNAP

Zasady privacy by design oraz default w tworzeniu oprogramowania

Data publikacji: 29-04-2021 Autor: Bartosz Jussak, Damian Łapka

W poprzednim numerze „IT Professional” poruszona została kwestia wytycznych w sprawie uwzględnienia zasad privacy by design oraz default, których finalną wersję Europejska Rada Ochrony Danych przyjęła w październiku 2020 r. Tym razem poświęcimy uwagę konkretnym działaniom, jakie mogą podjąć podmioty.

 

U względnienie zasad DPbDD opiera się na wdrożeniu odpowiednich środków technicznych i organizacyjnych wraz z szeregiem czynników wymienionych w art. 25 ust. 1 i 2 rodo. Wiele rekomendacji w tym zakresie odnaleźć można w wytycznych EROD, a także w treści wytycznych organów nadzorczych: norweskiego (Datatilsynet – datatilsynet.no), hiszpańskiego (Agencia Española de Protección de Datos – www.aepd.es) oraz francuskiego (CNIL – www.cnil.fr) w sprawie tworzenia oprogramowania zgodnie z zasadami DPbDD. Poniższe propozycje, rozbite na elementy, jakie powinny zostać uwzględnione w stosunkach zewnętrznych oraz wewnętrznych podmiotu dążącego do uwzględniania zasad DPbDD w swoim przedsiębiorstwie, oparte są o sugestie zawarte w przedmiotowych wytycznych sporządzonych przez ww. organy. Podkreślenia wymaga, że poniższa lista nie jest wyczerpująca i powinna uwzględniać specyfikę działalności danego podmiotu.

> Działania podmiotu zewnętrznie

Działania podejmowane zewnętrznie dotyczą stosunków umownych łączących administratorów oraz podmioty przetwarzające i producentów oprogramowania (niejednokrotnie będzie to ten sam podmiot), a także informacji przekazywanych przez te podmioty potencjalnym klientom.

Z perspektywy administratorów działania te obejmują w szczególności:

 

  • wybór podmiotów o ugruntowanej pozycji;
  • wybór takich dostawców oprogramowania lub podmiotów przetwarzających, których systemy wspierają DPbDD lub umożliwiają uwzględnienie tych zasad przez administratora;
  • zapewnienie w zawieranych umowach, iż środki techniczne zastosowane w systemie są adekwatne, w szczególności że spełniają aktualny stan wiedzy technicznej (w tym zobowiązanie dostawcy lub podmiotu przetwarzającego do informowania   administratora o wszelkich zmianach „aktualnego stanu wiedzy”, które mogą wpływać na skuteczność stosowanych przez nich środków);
  • wymaganie od producentów i podmiotów przetwarzających wykazania, w jaki sposób ich sprzęt, oprogramowanie, usługi lub systemy pozwalają administratorowi zachować zgodność z wymaganiami dotyczącymi rozliczalności (na przykład za pomocą wskaźników KPI w celu wykazania skuteczności środków i zabezpieczeń dla wdrażania zasad ochrony danych i praw podmiotów danych);
  • wymaganie od producentów danego produktu informatycznego zmapowania procesów i funkcjonalności tego produktu obejmujących przetwarzanie danych osobowych;
  • wymaganie od producentów systemów informatycznych przyjęcia metodologii tworzenia oprogramowania uwzględniających zasady DPbDD (np. Secure Software Development Life Cycle, OWASP);
  • regularne weryfikowanie i dokonywanie oceny operacji wykonywanych przez podmioty przetwarzające;
  • w przypadku transferu danych osobowych do państw trzecich (tj. poza obszar Europejskiego Obszaru Gospodarczego – EOG), np. w przypadku hostingu, ustalenie jurysdykcji krajowej, pod którą dane osobowe będą podlegać po przekazaniu (w tym dokonanie oceny przepisów obowiązujących w tym państwie w zakresie ochrony danych osobowych), zweryfikowanie przez administratora, czy dane transferowane poza EOG są adekwatne, stosowne i ograniczone do tego, co jest niezbędne w świetle celów, w jakich są one przekazywane;
  • pozyskiwanie profesjonalnej pomocy i wsparcia w zakresie oceny spełniania przez systemy zasad DPbDD (w tym, jeżeli administrator wyznaczył inspektora ochrony danych – zaangażowanie go w projekty związane z wdrożeniem czy wykorzystaniem systemów informatycznych przetwarzających dane osobowe);
  • informowanie podmiotów danych w sposób przejrzysty i zrozumiały o tym, jak ich dane osobowe są zbierane, wykorzystywane i udostępniane przez administratora (w tym zakresie możliwe zastosowanie podejścia warstwowego udostępniania informacji, w tym stosowanie list rozwijanych, pop-upów i linków do materiałów objaśniających bardziej skomplikowane zagadnienia oraz wykorzystanie materiałów wideo i infografik).

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"