GDPR: Оценка воздействия на защиту данных

Опубликовано: 5 Апреля, 2023
GDPR: Оценка воздействия на защиту данных

Что это такое, кто должен сосредоточиться на этом и как это может быть достигнуто?

Оценка воздействия на защиту данных (DPIA), также называемая оценкой воздействия на конфиденциальность (PIA), представляет собой систематический процесс оценки рисков для конфиденциальности отдельных лиц при обработке их личных данных. Обработка включает в себя сбор, использование и раскрытие персональных данных. Этот DPIA необходимо проводить, чтобы свести к минимуму риски для человека, и поэтому он выполняется до начала обработки контроллером данных. GDPR ожидает, что DPIA будет выполнено и будут приняты необходимые меры для устранения любых рисков, связанных с конфиденциальностью человека в результате обработки данных.

Этот элемент GDPR является обязанностью контроллера данных организации и является частью аспекта «Подотчетность и конфиденциальность по замыслу». Контроллер данных, являющийся организацией, собирающей данные.

Постановление является обязательным, если « обработки, в частности контекста

Обстоятельства, при которых этот риск может быть очевидным, включают:

  • Там, где проводится систематическая и всесторонняя оценка личных аспектов, касающихся физических лиц, которая основана на автоматизированной обработке, включая профилирование, и на которой основаны решения, которые имеют юридические последствия в отношении физического лица или аналогичным образом существенно влияют на физическое лицо. (учреждения, которые проводят автоматизированное одобрение кредитов, поставщики аналитических данных, компании и учреждения онлайн-маркетинга)
  • Обработка в больших масштабах конфиденциальных персональных данных и персональных данных, касающихся уголовных судимостей и правонарушений. (медицинские учреждения, страховые компании)
  • Масштабный систематический мониторинг общедоступных территорий (использование видеонаблюдения в общественных местах, зонах отдыха, ресторанах и торговых центрах и т.д.)

Проще говоря, это означает, что если организация обрабатывает персональные данные, что может привести к высокому риску для прав субъекта данных, DPIA должен быть выполнен до начала обработки его персональных данных.

DPIA НЕ является оценкой воздействия на что-либо еще, кроме защиты персональных данных.

Успешный DPIA должен установить следующие результаты:

  • Соответствуют обрабатываемые

Рекомендуемая структура для начала

Единой структуры для DPIA не существует (GDPR обеспечивает минимальный стандарт для проведения DPIA), но организациям следует разработать такую, которая работает для них, но охватывает все аспекты, требуемые GDPR.

Следование систематическому процессу может помочь комплексно подойти к DPIA, чтобы не упустить важные аспекты оценки.
В этой структуре процесс DPIA можно представить как три этапа: подготовка, оценка и защита, документирование и отчет.

1. Подготовка ( требуется время на подготовку )

При подготовке к DPIA необходимо выполнить следующие действия.

o Контроллер данных должен решить, существует ли юридическое требование для проведения DPIA. Это зависит от типа обрабатываемых данных, а также от риска для прав отдельных лиц.
o После принятия решения о проведении DPIA необходимо определить цели и объем DPIA.
o Стандартная модель защиты данных должна использоваться для реализации DPIA, чтобы обеспечить соблюдение требований, определение мер безопасности и достижение прозрачности для используемой системы обработки.
o Диапазон DPIA должен быть четко определен. Необходимо получить обзор всей оцениваемой обработки данных (ее описание и цель). Подробная информация о типе данных, формате данных, о том, как и где данные хранятся и в каком формате, как они передаются, об используемых ИТ-системах и интерфейсах. Кроме того, используемые процедуры, процессы и функциональные роли.
o Должны быть идентифицированы участвующие и заинтересованные лица (все, кого затрагивает использование данных — производители, операторы, обработчики, контролеры, третьи стороны и отдельные лица)
o Правовые требования должны быть признаны – могут применяться отраслевые правовые требования
o Должен быть создан отчет для документирования результатов этого подготовительного этапа.

2.Оценка

Этот этап включает в себя следующее:

• Определение целей защиты

Цели направлены на то, чтобы помочь выявить риски для отдельных лиц, чтобы можно было принять соответствующие меры для их минимизации. Кроме того, необходимо будет достичь правильного баланса целей для надлежащего удовлетворения заинтересованных лиц, и это будет уникальным для организации и типа данных, которые они обрабатывают, и систем, которые они используют.

Доступность, целостность и конфиденциальность являются тремя столпами безопасности и, таким образом, являются частью задач по снижению риска для людей. Наряду с этим есть еще три цели. Совместное стремление к достижению этих целей будет поддерживать требования по защите прав заинтересованных лиц.

1. Доступность (чтобы данные были доступны и понятны, когда это требуется властями)
2. Целостность (данные должны быть надежными — не подделываться и не изменяться и оставаться точными)
3. Конфиденциальность (необходимость сохранения конфиденциальности данных)
4. Невозможность привязки (данные не должны быть привязаны к разным доменам или использоваться в разных целях для предполагаемой обработки).
5. Прозрачность (субъект данных должен быть полностью осведомлен о том, как обрабатываются его данные, и должен дать согласие)
6. Возможность вмешательства заинтересованных лиц (контроль, который субъекты данных имеют над обрабатываемыми данными. Могут ли они быть доступны по запросу, удалены, заблокированы или исправлены и т. д.)

• Выявление потенциальных злоумышленников (их мотивы и цели)

DPIA оценивает угрозы с точки зрения прав заинтересованных лиц, а не угрозы для организации. Таким образом, целью DPIA является защита прав людей, а не бизнес-процессов организации. Угрозы должны быть идентифицированы, чтобы от них можно было защититься.

• Определение критериев оценки и ориентиров

Любая обработка данных влияет на права заинтересованных лиц и, таким образом, должна быть обоснована и оценена в соответствии с предлагаемыми условиями для соответствия регламенту. Уровень защиты должен быть «нормальным» по умолчанию, но в зависимости от типа данных и типов обработки уровень может повышаться до «высокого» или «очень высокого», но никогда не опускаться ниже «нормального» уровня.

Стандарты защиты устанавливаются следующим образом:

Нормальный: не существует сценариев, в которых характер обработки указывает на возможность высокой интенсивности помех.

Высокий: обрабатываются особые категории персональных данных (в соответствии с GDPR), поэтому по закону требуется высокий стандарт защиты, и/или лица зависят от услуг/решений организации.

Очень высокий: Персональные данные, требующие высокого стандарта защиты, обрабатываются, и человек зависит от решений/услуг организации. Кроме того, существуют риски, связанные с недостаточной безопасностью данных или изменением целей обработки, о которых человек не может знать.

• Оценка риска

Оценка риска выполняется путем сравнения спрогнозированных контролером показателей или показателей, определенных в ходе оценки, с каталогом эталонных показателей, сформулированных и доступных. В случае возникновения несоответствий необходимо оценить, как они могут повлиять на цели защиты (таким образом, увеличить риск для заинтересованных лиц), и любые недостатки в защите данных должны быть соответствующим образом устранены.

3. Защита, документирование и отчет

• Определить и внедрить соответствующие меры безопасности

Это зависит от результатов оценки, и на основе полученных результатов должен быть подготовлен план рисков.

В DPIA должны быть предусмотрены меры по устранению выявленных рисков, а также меры безопасности и защиты данных. План должен быть недвусмысленно детализирован и включать: какие меры безопасности необходимо принять, кто несет ответственность за реализацию мер безопасности, ресурсы, доступные для реализации мер безопасности, сроки реализации мер безопасности, критерии для измерения результатов мер безопасности и подробную информацию о том, кто будет оценивать и документировать критерии.

• Документировать и отчитываться об оценке результатов

Для достижения предполагаемого результата DPIA важно тщательно задокументировать и опубликовать отчет о результатах. Отчет должен быть стандартизирован, чтобы ускорить оценку властями, учреждениями, а также общественностью.

• Аудит результатов оценки

Отчет DPIA должен быть оценен независимой третьей стороной, чтобы убедиться, что он был составлен должным образом.

• Обзор и преемственность

DPIA — это не оценка, которая выполняется один раз, а затем забывается. Это линейный процесс, который необходимо пересматривать и повторять при необходимости. Если в результате обработки данных происходят изменения в рисках, меры безопасности должны быть адаптированы для отражения новых обстоятельств и удовлетворения новых требований.

Готовность имеет ключевое значение

Многим организациям предстоит пройти обязательную оценку воздействия на защиту данных (DPIA). К маю 2018 года одним из компонентов, который необходимо решить для соблюдения GDPR, является DPIA при обработке персональных данных граждан ЕС. Желательно начать намечать структуру и практиковать процесс как можно скорее, так как потребуется время, чтобы сгладить любые проблемы и довести до совершенства. Кроме того, это чрезвычайно полезный способ выявления рисков для прав заинтересованных лиц, что позволяет методично устранять потенциальные недостатки в системах обработки данных.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023