Architektura aplikacji

Lepiej zapobiegać, niż leczyć – ta sentencja przypisywana Hipokratesowi znalazła swoje odzwierciedlenie w nowych przepisach, według których bezpieczeństwo i prywatność muszą być wkomponowane w proces przetwarzania już na etapie projektowania przetwarzania danych osobowych.

Bardzo ważnym elementem tego działania będą tzw. oceny skutków dla ochrony danych (ang. data privacy impact assessment – DPIA), zawierające m.in. ocenę ryzyka naruszenia praw i wolności osób oraz środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy (art. 35 ust. 7 RODO).

 

Już na etapie projektowania IT musi wziąć udział w ocenie skutków dla ochrony danych, aby określić, jakie systemy będą brać udział w przetwarzaniu i ocenić, czy zastosowane rozwiązania i zabezpieczenia są wystarczające. Jeśli nie są i w związku z tym przetwarzanie powodowałoby wysokie ryzyko, trzeba rozważyć, co dalej – czy wdrażać dodatkowe zabezpieczenia, czy też konsultować się z organem nadzorczym (art. 36 ust. 1 RODO).