Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Metoda oceny wagi naruszenia wg ENISA

19-02-2019 Autor: Mariola Więckowska

Ocena naruszenia stwarza problemy. Dlatego przedstawiamy opracowaną przez ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) metodę oceny wagi naruszenia. Narzędzie pozwala na ocenę wagi naruszeń danych i ułatwia podjęcie decyzji zarówno o powiadomieniu organu, jak i osób, których dane zostały naruszone.

 

Wagę naruszenia danych osobowych określa stopień potencjalnego wpływu na prawa lub wolności osób, których dotyczy naruszenie. Rodo wiąże to z powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Metoda pozwala administratorowi dokonać ogólnej oceny wagi naruszenia poprzez określenie konkretnych kryteriów ilościowych.

Metoda wykorzystuje informacje, które administrator posiada w momencie naruszenia, zatem nie zawsze obejmie ona wszystkie możliwe oddziaływania na osoby.

Ocena Wagi Naruszenia (WN)

WN oblicza się za pomocą trzech czynników, które administrator powinien ocenić:

WN = KPD × PI + ON

gdzie:

  • KPD – Kontekst Przetwarzania Danych, jest to główny czynnik określający poziom krytyczności zestawu naruszonych danych, w określonym kontekście przetwarzania
  • PI – Prawdopodobieństwo Identyfikacji, to czynnik korygujący KPD, który może obniżyć wynik i oznacza łatwość identyfikacji osoby na podstawie naruszonych danych dla osób, które uzyskały do nich dostęp
  • ON – Okoliczności Naruszenia, to czynnik wzmacniający wagę naruszenia, który odnosi się do jego okoliczności i może wystąpić bądź nie


Kontekst przetwarzania danych (KPD)

Metoda oparta jest na czterech kategoriach danych, jednak zawsze powinny być uwzględnione czynniki kontekstowe związane z danymi. Podstawową ocenę należy traktować jako ogólne wskazanie krytyczności związanej z kategorią danych, a KPD będzie miał wartość od 1 do 4.

KPD = A+B

gdzie:

  • A – określa rodzaj i poziom kategorii danych osobowych związanych z naruszeniem:


– Dane podstawowe = 1

– Dane dotyczące zachowań osoby (behawioralne) = 2

– Dane finansowe lub poufne = 3

– Dane szczególne = 4
 

  • B – określa czynniki kontekstu przetwarzania danych, które mogą podwyższyć lub obniżyć ocenę

– Szeroki zakres danych dla tej samej osoby (+): zakres powinien być rozpatrywany zarówno pod względem czasu trwania naruszenia (np. te same dane przez pewien czas), jak i zakresu danych, np. czynnik będzie wyższy dla listy transakcji bankowych z całego roku niż dla pojedynczej transakcji

– Duży wolumen danych (+): liczba osób, których dotyczy naruszenie, przekracza np. 100, co oznacza większą skalę incydentu

– Specyfika administratora (+): może ujawniać dodatkowe informacje, np. czynnik będzie wyższy dla listy klientów apteki internetowej niż sklepu papierniczego

– Specyfika podmiotu danych (+): osoby wymagające szczególnej opieki, w tym dzieci, osoby ubezwłasnowolnione, pozbawione praw publicznych lub osoby należące do grupy, która ze względu na swoją specyfikę obarczona jest wyższym ryzykiem, np. czynnik zostanie podwyższony dla danych osób zatrudnionych w tajnych służbach

– Możliwe negatywne skutki dla podmiotu danych (+)

– Nieważność danych (-): gdy dane utraciły znaczenie lub są nieaktualne, np. nieaktualna lista adresów pocztowych osób, do których nie można już wysłać listów

– Dostępność publiczna (-): dane były publicznie dostępne przed naruszeniem

– Charakter danych: wpływa na zwiększenie lub zmniejszenie oceny, np. zaświadczenie lekarskie, które poświadcza dobry stan zdrowia osoby i nie ujawnia żadnych innych informacji, mimo że jest kategorią szczególną = 4, to ostatecznie przyjmie wartość 1, gdyż nie, wpływa na ryzyko naruszenia praw lub wolności osoby. Czynnik ten należy rozważyć z wielką starannością i wyjaśnić, dlaczego obniżono podstawowy wynik KPD.

 

[...]

 

Autorka pracuje w LexDigital jako Head of Privacy Innovative Technologies; pomaga wykorzystywać i wdrożyć nowe technologie w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.