Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
3.PoDStawowePojęcia
165-166
Zasadniczymicelamiszacowaniasąokreśleniewartościaktywówinformacyjnych,ziden-
tyfikowaniezagrożeń,podatności,atakżezabezpieczeńiichwpływunazidentyfikowane
ryzyko,jakrównieżmożliwenastępstwa,priorytetyikolejnośćuzyskanychtypówryzyka
[PolskanormaPN-ISO/EIC27005.Technikainformatyczna.Technikabezpieczeństwa.Za-
rządzanieryzykiemwbezpieczeństwieinformacji,s.20].Szacowanieryzykapowinno
byćprzeprowadzonezzastosowaniemjednej,zgóryprzyjętejprzezadministratora
metody,uwzględniającejwszystkiekryteria,którepowinnyzostaćwziętepoduwagę
przyocenieryzyka,orazperspektywępodmiotówdanych,jakowymógwyraźniewynikający
zprzepisówrozporządzenia2016/679.Szacowanieryzykapowinnomiećcharakterobiek-
tywny.Cowięcej,zastosowanametodaanalizyryzykaijejszacunkowewynikipowinny
zostaćudokumentowanewtakisposób,abypodmiotniezależny,wszczególnościorgannad-
zoru,mógłodtworzyćprocesanalitycznyadministratoraorazocenić,czydokonującanalizy,
administratorwziąłpoduwagęniezbędnekryteriaiokoliczności,wjakisposóbjeocenił
izjakiejprzyczynydoszedłdookreślonychwniosków.Dokumentowanielubraportowanie
przeprowadzanejanalizypowinnoobejmowaćkażdyjejetap,coumożliwiaocenęprzepro-
wadzonejanalizypodkątemjejrzetelnościimiarodajności.Tegorodzajudokumentowanie
pozwalatakżenawykazaniezgodnościdziałaniaadministratorazobowiązującąnagruncie
RODOzasadąrozliczalności.
Podpowiedzidotyczącychwyborumetodyanalitycznejmożnaszukaćm.in.w:
1)wytycznychGrupyRoboczejArt.29(obecnieEuropejskiejRadyOchronyDanych)doty-
czącychocenyskutkówdlaochronydanychorazpomagającychustalić,czyprzetwarzanie
flmożepowodowaćwysokieryzyko”docelówrozporządzenia2016/679,przyjętych4.04.2017r.,
dokumentWP248rev.1,https://uodo.gov.pl/pl/10/9(dostęp:1.09.2021r.);
2)opracowaniachpolskiegoorganunadzorczego–Poradnik–Jakrozumiećpodejścieoparte
naryzykuiJakstosowaćpodejścieopartenaryzyku(https://uodo.gov.pl/pl/123/208,dostęp:
1.09.2021r);
3)normachISOzrzędu27000,wszczególnościnormieISO/IEC27005.Technikainformatycz-
na.Technikabezpieczeństwa.Zarządzanieryzykiemwbezpieczeństwieinformacjistanowiącej
rozszerzenienormyISO/IEC27001–wzakresiedotyczącymbezpieczeństwaopartegonaana-
lizieryzyka,ztymzastrzeżeniem,żenapodstawietychnormbadanejestryzykozwiązane
zzapewnieniembezpieczeństwainformacji,anieryzykoprzetwarzaniadlaprawiwolności
podmiotówdanych;
4)normieISO/IEC27701:2019.Technikibezpieczeństwa–RozszerzeniedoISO/IEC27001
iISO/IEC27002–Zarządzanieinformacjamioprywatności–wytyczneiwymagania;
5)normieISO/IEC29134:2017.Technikainformatyczna.Technikibezpieczeństwa.Wytyczne
dotycząceocenyskutkówdlaprywatnościwrazznormamiskorelowanymi27000–systemy
zarządzaniabezpieczeństweminformacji,29100–ramyprywatności;
6)opracowaniachENISA–np.Reinforcingtrustandsecurityintheareaofelectroniccom-
municationsandon-lineservicesSketchingthenotionof“state-of-the-art”forSMEsinse-
curityofpersonaldataprocessings,https://www.enisa.europa.eu/publications/reinforcing-
-trust-and-security-in-the-area-of-electronic-communications-and-online-services(dostęp:
20.07.2021r.).
PRZYKŁAD:Możliwejesttakżewykorzystaniemetodologii,naktórychopartejestdziałanie
aplikacjianalitycznychPIA(privacyimpactassessment),np.opracowanejprzezfrancuski
organnadzorczyCNIL-https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-
-data-protection-impact-assesment(dostęp:20.07.2021r.)-lubopartejnanormieISO/IEC
29134:2017.Technikainformatyczna.TechnikaBezpieczeństwa.Wytycznedotycząceoceny
skutkówdlaprywatności-aplikacjiGDPRRiskTracker-https://app.gdprrisktracker.pl(do-
stęp:20.07.2021r.).
165
166
www.meritum.pl
103
