ISO/IEC 29134 – jak prawidłowo przeprowadzić DPIA zgodnie z międzynarodowym standardem
W wielu organizacjach – także na uczelniach wyższych – analiza ryzyka dla danych osobowych nie kończy się na samym wymogu z art. 35 RODO. Coraz częściej stosuje się również międzynarodowy standard ISO/IEC 29134, który określa metodykę przeprowadzania DPIA (Data Protection Impact Assessment).
Norma ta stanowi praktyczny przewodnik, jak krok po kroku przygotować ocenę skutków dla ochrony danych.
ISO/IEC 29134 wskazuje, że DPIA powinna obejmować m.in.:
• szczegółowy opis operacji przetwarzania danych
• określenie celu przetwarzania i jego podstawy prawnej
• identyfikację interesariuszy (np. administratora, podmiotów przetwarzających)
• analizę zagrożeń dla praw i wolności osób fizycznych
• ocenę poziomu ryzyka
• wskazanie środków ograniczających ryzyko
Standard ten jest często stosowany w organizacjach wdrażających systemy bezpieczeństwa informacji zgodne z ISO/IEC 27001 oraz ISO/IEC 27701.
W kontekście uczelni wyższych norma ISO/IEC 29134 może być szczególnie pomocna przy analizie systemów takich jak:
• platformy e-learningowe
• systemy rekrutacyjne online
• systemy obsługi studentów i dziekanatu
• systemy monitorujące aktywność użytkowników
W praktyce oznacza to, że DPIA nie jest jedynie formalnością wynikającą z RODO, ale elementem systemowego zarządzania bezpieczeństwem informacji.
Prewencja przestępczości gospodarczej
w przedsiębiorstwie – szkolenia i audyty
