RODO – implementacja rozporządzenia

Właściwa implementacja rozporządzenia

Przejdźmy teraz do  omówienia generalnych zasad wskazanych w  samym rozporządzeniu. Najważniejsze jest bowiem ich zrozumienie, szczegóły można poznać samodzielnie, czytając samo rozporządzenie i  licznie dostępne już różnego rodzaju przewodniki. Pierwszą zasadą, mającą fundamentalne znaczenie dla właściwej implementacji tego aktu prawnego, jest Risk Based Approach, czyli podejście bazujące na  analizie ryzyka. Główną ideą tej zasady jest to, że  jesteśmy zobowiązani do  identyfikacji naszych chronionych aktywów (w  tym wypadku tymi aktywami są  dane osobowe – tzw. aktywa podstawowe wg  terminologii ISO/IEC 27005 oraz aktywa pomocnicze związane z  tymi danymi bądź biorące udział w  ich przetwarzaniu), określenia ich tzw. wrażliwości, a  następnie do  zidentyfikowania ryzyka, które im  zagraża. Dużą pomocą w  zrozumieniu, na  czym polega podejście bazujące na  ocenie ryzyka, jest dwuczęściowy poradnik opracowany przez GIODO 2.

Kolejnym krokiem, jaki powinniśmy wykonać, jest opracowanie tzw. Planu Zapobiegania Ryzykom (tym zidentyfikowanym). Terminologia ISO/IEC 27005 mówi o  analizie zabezpieczeń, jest to  w  istocie ten sam proces. Nie wystarczy opracowanie takiego planu raz, musi to  być proces powtarzalny. Jest to  wymóg zapisany w  treści rozporządzenia, choć nie precyzuje ono jak często ten proces ma  być powtarzany.

I  tu  dochodzimy do  najważniejszego przesłania całego aktu prawnego, podstawą do  osiągnięcia zgodności z  rozporządzeniem jest dobrze przeprowadzony proces samooceny (self-assessment).

O  tym, jakie istnieją (a&nbsp...