Ocena skutków dla ochrony danych Google Workspace for Education

Prawo

dane

Kategoria

analiza

Instrukcja

Należy rozpocząć od uzupełnienia nazwy firmy w miejscu [FIRMA] oraz nazwy systemu lub procesu, którego dotyczy ocena, w miejscu [SYSTEM/PROCES]. W sekcji dotyczącej artykułu 35 RODO, w miejscu [INFORMACJA O PRZEPISACH/WYTYCZNYCH] należy dodać odnośniki do odpowiednich przepisów i wytycznych. W Tabeli nr 1 należy szczegółowo opisać przetwarzanie danych, uzupełniając kolejno: opis czynności przetwarzania, cel czynności przetwarzania, podstawę prawną przetwarzania, administratora danych, podmioty przetwarzające, informacje o umowach powierzenia przetwarzania danych osobowych, systemy wspierające przetwarzanie, planowane przepływy danych, charakter przetwarzania, zakres przetwarzania oraz kontekst przetwarzania. W Tabeli nr 2 należy zebrać opinie wewnętrzne, na przykład od Inspektora Ochrony Danych, oraz opinie podmiotów zewnętrznych. W Tabelach nr 3 i 4 należy odpowiedzieć na pytania dotyczące niezbędności oraz proporcjonalności danych. W sekcji IV, w miejscu [METODA OCENY RYZYKA], należy opisać zastosowaną metodę oceny ryzyka. W Tabeli nr 5 należy zidentyfikować źródła ryzyka, określić prawdopodobieństwo ich wystąpienia, skutki dla osób fizycznych, poziom ryzyka, negatywne skutki zdarzenia, wpływ zdarzenia na atrybuty bezpieczeństwa informacji oraz wpływ na osobę fizyczną. W Tabeli nr 6 należy określić środki zaradcze dla zidentyfikowanych ryzyk, ich wpływ na ryzyko, ryzyko szczątkowe oraz zatwierdzenie środka. W Tabeli nr 7, w podsumowaniu oceny skutków, należy sformułować wnioski i uwagi dotyczące poszczególnych zagadnień oraz dokonać akceptacji oceny skutków dla ochrony danych.

Dane

administrator danych, cel czynności, charakter przetwarzania, firma, informacja o przepisach/wytycznych, informacja o umowach, kontekst przetwarzania, metoda oceny ryzyka, negatywne skutki, odpowiedź 1 (tabela 3), odpowiedź 1 (tabela 4), odpowiedź 2 (tabela 3), odpowiedź 2 (tabela 4), odpowiedź 3 (tabela 3), odpowiedź 3 (tabela 4), opinie wewnętrzne, opinie zewnętrzne, opis czynności, podmioty przetwarzające, podstawa prawna, poziom ryzyka, prawdopodobieństwo, przepływy danych, pytanie 1 (tabela 3), pytanie 1 (tabela 4), pytanie 2 (tabela 3), pytanie 2 (tabela 4), pytanie 3 (tabela 3), pytanie 3 (tabela 4), ryzyko 1, ryzyko 2, ryzyko szczątkowe, skutek, system/proces, systemy, tak/nie, uwagi, wnioski, wpływ, wpływ na bezpieczeństwo, wpływ na osobę, zagadnienie 1, zagadnienie 2, zakres przetwarzania, środki zaradcze, źródło ryzyka 1, źródło ryzyka 2

Ocena skutków dla ochrony danych Google Workspace for Education to kompleksowy dokument analizujący potencjalne ryzyko naruszenia praw lub wolności osób fizycznych związane z przetwarzaniem danych w ramach korzystania z systemu Google Workspace for Education przez firmę. Dokument opisuje kroki niezbędne do przeprowadzenia oceny skutków dla ochrony danych (DPIA) oraz identyfikuje środki redukujące ryzyko. Przeprowadzenie DPIA jest obligatoryjne, jeśli istnieje wysokie prawdopodobieństwo zagrożenia dla danych osobowych. Zawiera również analizę procesu konsultacji wewnętrznych i zewnętrznych oraz ocenę proporcjonalności przetwarzanych danych.

Ocena skutków dla ochrony danych (DPIA) dla korzystania przez [FIRMA] z [SYSTEM/PROCES]

Art. 35 RODO ust. 1 RODO wskazuje, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków dla ochrony danych (DPIA). [INFORMACJA O PRZEPISACH/WYTYCZNYCH]. Administrator oceniając, czy dany rodzaj operacji będzie podlegał obowiązkowi przeprowadzenia DPIA, musi wziąć pod uwagę wskazane przesłanki. Jeżeli jakakolwiek z nich zostanie spełniona, dokonanie DPIA jest obligatoryjne. W przypadku korzystania przez [FIRMA] z [SYSTEM/PROCES] może wystąpić wysokie prawdopodobieństwo zagrożenia dla praw i wolności osoby fizycznej.

I. Opis przetwarzania

Tabela nr 1

Lp. | Dane do identyfikacji procesu przetwarzania | Opis

---|---|---|

| Opis czynności przetwarzania | [OPIS CZYNNOŚCI]

| Cel czynności przetwarzania | [CEL CZYNNOŚCI]

| Podstawa prawna przetwarzania | [PODSTAWA PRAWNA]

| Administrator danych | [ADMINISTRATOR DANYCH]

| Podmioty przetwarzające | [PODMIOTY PRZETWARZAJĄCE]

| Umowy powierzenia przetwarzania danych osobowych | [INFORMACJA O UMOWACH]

| Systemy wspierające przetwarzanie | [SYSTEMY]

| Planowane przepływy danych | [PRZEPŁYWY DANYCH]

| Charakter przetwarzania | [CHARAKTER PRZETWARZANIA]

| Zakres przetwarzania | [ZAKRES PRZETWARZANIA]

| Kontekst przetwarzania | [KONTEKST PRZETWARZANIA]

II. Opis procesu konsultacji wewnętrznych i zewnętrznych

Tabela nr 2

Opinie wewnętrzne np.: Inspektor Ochrony Danych, [STANOWISKO], [STANOWISKO], [STANOWISKO]

[OPINIE WEWNĘTRZNE]

Opinie podmiotów zewnętrznych

[OPINIE ZEWNĘTRZNE]

III. Określenie niezbędności oraz proporcjonalności danych art. 35 ust. 7 lit b RODO

Tabela nr 3

Pytanie | Odpowiedź

---|---

[PYTANIE 1] | [ODPOWIEDŹ 1]

[PYTANIE 2] | [ODPOWIEDŹ 2]

[PYTANIE 3] | [ODPOWIEDŹ 3]

Tabela nr 4

Pytanie | Odpowiedź

---|---

[PYTANIE 1] | [ODPOWIEDŹ 1]

[PYTANIE 2] | [ODPOWIEDŹ 2]

[PYTANIE 3] | [ODPOWIEDŹ 3]

IV. Identyfikacja i ocena ryzyka

Poziom ryzyka wyznaczono według wzoru: R = P x Igdzie:R –poziom ryzykaP – wartość przypisana prawdopodobieństwu materializacji zagrożeniaI – Istotność

[METODA OCENY RYZYKA]

Tabela nr 5

Źródło ryzyka | Prawdopodobieństwo | Skutek - dotkliwość dla osób fizycznych | Poziom ryzyka | Identyfikacja negatywnych skutków zdarzenia | Wpływ zdarzenia na atrybuty bezpieczeństwa informacji | Wpływ na osobę fizyczną

---|---|---|---|---|---|---|

[ŹRÓDŁO RYZYKA 1] | [PRAWDOPODOBIEŃSTWO] | [SKUTEK] | [POZIOM RYZYKA] | [NEGATYWNE SKUTKI] | [WPŁYW NA BEZPIECZEŃSTWO] | [WPŁYW NA OSOBĘ]

[ŹRÓDŁO RYZYKA 2] | [PRAWDOPODOBIEŃSTWO] | [SKUTEK] | [POZIOM RYZYKA] | [NEGATYWNE SKUTKI] | [WPŁYW NA BEZPIECZEŃSTWO] | [WPŁYW NA OSOBĘ]

V. Identyfikacja środków redukujących ryzyko

Tabela nr 6

Ryzyko | Środki zaradzenia ryzyku | Wpływ na ryzyko | Ryzyko szczątkowe | Środek zatwierdzony

---|---|---|---|---|

[RYZYKO 1] | [ŚRODKI ZARADCZE] | [WPŁYW] | [RYZYKO SZCZĄTKOWE] | [TAK/NIE]

[RYZYKO 2] | [ŚRODKI ZARADCZE] | [WPŁYW] | [RYZYKO SZCZĄTKOWE] | [TAK/NIE]

VI. Podsumowanie oceny skutków

Tabela nr 7

Zagadnienie | Wnioski i akceptacja oceny skutków dla ochrony danych | Uwagi

---|---|---|

[ZAGADNIENIE 1] | [WNIOSKI] | [UWAGI]

[ZAGADNIENIE 2] | [WNIOSKI] | [UWAGI]

Dokument Ocena skutków dla ochrony danych Google Workspace for Education przedstawia szczegółową ocenę ryzyka związanego z przetwarzaniem danych w systemie Google Workspace for Education. Analiza obejmuje identyfikację ryzyka, jego ocenę oraz propozycje środków redukujących ryzyko. Wnioski i akceptacja oceny skutków dla ochrony danych są podsumowane w tabeli, która zawiera istotne informacje dotyczące przeprowadzonej oceny.