Ocena skutków projektu dla ochrony prywatności, znana powszechnie jako „PIA” (ang. Privacy Impact Assesment), zalecana jest wszelkim podmiotom przetwarzającym dane osobowe, a w pewnych przypadkach wręcz obowiązkowa. CNIL (fr. Commission Nationale de l’Informatique et des Libertés; francuski organ ochrony danych osobowych) wychodząc naprzeciw ich oczekiwaniom, udostępnił darmowe oprogramowanie PIA. Ma ono pomóc administratorom  we wprowadzeniu jego założeń w życie. Przestrzeganie PIA tworzyć ma bardziej przyjazne warunki do ochrony prywatności i  ma istotny wpływ na ocenę standardów przetwarzania danych osobowych przez organizację.

CNIL inwestuje w nowe oprogramowanie

Narzędzie umożliwiające administratorom w sposób sprawny i przyjazny wdrażać oraz rozwijać założenia Privacy Impact Assesment było oczkiem w głowie francuskiego organu ochrony danych już od 2015 roku. CNIL zależało na tym, aby programowane rozwiązania jak najlepiej realizowały wytyczne Grupy Roboczej art. 29 [przyp. red. organu eksperckiego, składającego się z wybitnych specjalistów ds. ochrony danych osobowych, piastunów stanowiska organu kontrolnego każdego z krajów unijnych] z października 2017 roku.

CNIL, aby jeszcze bardziej upowszechnić dostęp do utworzonego przez nich narzędzia do oceny skutków projektu, wydała go w dwóch językach – francuskim jak i angielskim. Administratorzy będą mieli możliwość zapoznania się z tą metodologią jeszcze przed nadejściem godziny zerowej w maju 2018.

Do kogo jest adresowane?

Oprogramowanie powstało z myślą o administratorach danych, którzy znają przynajmniej w podstawowym stopniu założenia PIA. Mogą oni samodzielnie pobrać na swój komputer próbną wersję udostępnionego na oficjalnej stronie CNIL narzędzia, które pomoże w praktycznym wdrożeniu zaleceń w życie. Z racji tego, że GDPR obowiązywać będzie we wszystkich państwach członkowskich Unii Europejskiej, również podmioty spoza jurysdykcji francuskiej mogą potraktować to narzędzie jako cenne źródło wiedzy praktycznej.

I po co te procesy?

Okazuje się, że każdego dnia organizacje kreują usługi, a co za tym idzie nowe procesy przetwarzania, co jest immanentną cechą realiów w jakich żyjemy – społeczeństwa cyfrowego. Aby możliwie dobrze przygotować się do każdego takiego przetwarzania konieczne jest dokonanie oceny ryzyk, w tym bezprawnego dostępu do danych, możliwości dokonywania jakichkolwiek niechcianych ingerencji w nie czy finalnie usunięcia danych osobowych z bazy. Są to sytuacje niekorzystne zarówno dla administratora jak i dla osób, których dane on przetwarza.

Celem minimalizacji ryzyka, trzeba wpierw zidentyfikować czynniki, które wpływają na jego wzrost. Ocena zaczyna się od określenia kontekstu przetwarzania danych osobowych, ze wskazaniem celu i dostępnych środków technicznych. Przy tym należy zwrócić szczególną uwagę na zasadę niezbędności i proporcjonalności przetwarzania danych osobowych w kontekście praw i wolności tych osób. W pewnych wypadkach konieczne będzie zawiadomienie organu nadzorczego, jeszcze przed przystąpieniem do wskazanego przetwarzania.

Co nam da? Da wiele…

W oprogramowaniu PIA, udostępnionym przez CNIL znajduje się, aż kilka funkcjonalności, które ułatwią proces oceny skutków projektu dla ochrony prywatności. Bazą jest na pewno kontekstowa baza wiedzy oparta bezpośrednio na GDPR, wytycznych dotyczących PIA oraz wydanym już wcześniej przez CNIL podręczniku o bezpieczeństwie. W czasie przeprowadzania analizy, administrator będzie miał zatem możliwość skorzystania ze specjalnie dlań spreparowanego zasobu wiedzy.

Co więcej, oferowane oprogramowanie będzie mogło być instalowane na serwerach użytkownika, a następnie integrowane z innymi narzędziami i systemami wykorzystywanymi wewnętrznie przez administratora.

Warto korzystać, póki jest darmowe!

Zaprojektowano również narzędzia pozwalające na możliwie jak najszybszą wizualizację i zrozumienie ryzyka związanego z przetwarzaniem danych. Aktualnie, wydano wersję beta narzędzia. CNIL planuje je ciągle ulepszać i czeka na opinie i informacje zwrotne od jego użytkowników, co pozwoli na wykrycie i skorygowanie najistotniejszych jego ułomności. Oprogramowanie dostępne jest na wolnej licencji GNU GPL v3.0 umożliwiającej na używanie go bez opłat licencyjnych dla celów komercyjnych. Otwarty kod aplikacji pozwala dostosować aplikację do istniejącego środowiska.

Aplikacja dostępna jest w wersji ‘portable’, czyli możliwej do uruchomienia bez instalacji, oraz w wersji wymagającej deployment’u na serwerach organizacji po skompilowaniu kodu pobranego z repozytorium GIT.

Dzięki zastosowanej licencji GNU GPL v3.0 każdy z użytkowników będzie miał możliwość rozwijania i ulepszania funkcji przekazanego oprogramowania, aby odpowiadało specyficznym potrzebom niestandardowego użytkownika. Tak zmodyfikowane oprogramowanie będzie mogło być później udostępnione całej społeczności.

Już dzisiaj na oficjalnej <a href=”https://www.cnil.fr/en/cnil-releases-free-software-pia-tool-help-data-controllers-carry-out-data-protection-impact”>stronie internetowej CNIL</a> użytkownicy mogą przesyłać swoje sugestie za pośrednictwem dedykowanego formularza.

Korzystanie z oprogramowania – krok po kroku

Twórcy oprogramowania skupili się na tym, aby udostępnione przez nich narzędzie spełniało trzy zasadnicze założenia: udostępniało intuicyjny interfejs, prezentowało wiedzę zarówno prawniczą jak i techniczną oraz aby było narzędziem modułowym.

Stworzone narzędzie opiera się na  przyjaznym użytkownikowi interfejsie, którego obsługa będzie w możliwie jak największym stopniu intuicyjna. Tylko takie programowanie pozwoli na sprawne i pełne wdrożenie założeń PIA w życie. W jasny sposób, krok po kroku przedstawia ono użytkownikowi metodologię oceny skutków projektu dla ochrony prywatności. Ponadto, poszczególne narzędzia, posługują się metodą wizualizacji, pozwalającą na pełne zrozumienie ryzyka towarzyszącego przetwarzaniu danych.

Program wskazuje też jakie wymagania dotyczące przetwarzania danych muszą być spełnione, aby odbywało się ono legalnie w świetle prawa. Wskazuje również jakie prawa przysługują osobom, których dane są przetwarzane. Znajduje się tu również wspomniana już baza wiedzy, której zawartość będzie stosownie rozszerzana w zależności od etapu wdrażania PIA, na którym jest użytkownik.

Modułowość prezentowanego narzędzia ma zaś pomóc użytkownikowi w osiągnięciu jak najwyższej zgodności. Można je dostosować do specyficznych potrzeb użytkownika czy też do wymagań sektora biznesowego, w którym on funkcjonuje na przykład poprzez tworzenie swoich szablonów, które pomogą powielać i wykorzystywać pewne elementy podobnych do siebie procesów przetwarzania. Użytkownik będzie miał możliwość dokonania swoich zmian w kodzie źródłowym, tak aby narzędzie jak najlepiej odpowiadało na jego potrzeby.

Uwaga, wersja beta może zawierać błędy

Narzędzie w swojej wersji testowej nie jest jeszcze doskonałe. CNIL zauważyło, że mogą pojawiać się m.in. problemy z interfejsem i ikonami, blokowanie funkcji takich jak edycja wskaźników ryzyka, problemy w trakcie ściągania PIA, z podświetlaniem tekstu skopiowanego, oceną ryzyka wybranej sekcji w której nie wypełniono wszystkich pól, tłumaczeniem tekstu na wybrany przez użytkownika język, czy finalnie z zatwierdzeniem wniosku o ocenę.

Już wkrótce gotowy produkt

Według zapowiedzi CNIL, ostateczna wersja produktu zostanie udostępniona w 2018 roku, jeszcze przed 25 maja, czyli przed dniem w którym administratorzy przetwarzający dane w państwach członkowskich będą zobowiązani do stosowania założeń GDPR.

Źródła:

  1. https://www.cnil.fr/en/cnil-releases-free-software-pia-tool-help-data-controllers-carry-out-data-protection-impact
  2. https://www.cnil.fr/sites/default/files/atoms/files/171019_fiche_risque_en_cmjk.pdf
  3. https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment

słowo klucz: PIA