Sprawdź, jakie środki bezpieczeństwa danych zastosować zgodnie z ogólnym rozporządzeniem

Jowita Sobczak

Autor: Jowita Sobczak

Dodano: 3 kwietnia 2017
Sprawdź, jakie środki bezpieczeństwa danych zastosować zgodnie z ogólnym rozporządzeniem

Już za niewiele ponad rok przetwarzanie danych osobowych będzie odbywało się na zasadach unijnego rozporządzenia ogólnego o ochronie danych. Wprowadza ono m.in. nowe wymogi odnośnie stosowania środków bezpieczeństwa danych osobowych. Sprawdź, jak po 25 maja 2018 r. trzeba będzie zabezpieczać dane osobowe.

Podmioty, które przetwarzają lub zamierzają przetwarzać dane osobowe, będą musiały zastosować się do nowych wymogów odnośnie do bezpieczeństwa danych osobowych, które wprowadza ogólne rozporządzenie o ochronie danych. Trzeba będzie dokonać przeglądu dotychczasowo stosowanych zabezpieczeń organizacyjnych i technicznych. Administratorzy będą musieli dostosować zarówno regulacje wewnętrzne, jak i narzędzia, które służą do ochrony danych osobowych, w tym zwłaszcza te informatyczne.

Jakie zasady bezpieczeństwa danych wprowadza ogólne rozporządzenie

Zgodnie z 32 ogólnego rozporządzenia administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, będzie musiał wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ogólne rozporządzenie wskazuje m.in.:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ważne:

Aby ocenić, czy stopień bezpieczeństwa jest odpowiedni, administrator danych powinien uwzględnić w szczególności ryzyko, które wiąże się z przetwarzaniem danych, wynika z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 32 ust. 2 rodo).

Przed wprowadzeniem zabezpieczeń trzeba przeprowadzić analizę ryzyka

To, jakie środki bezpieczeństwa zastosuje administrator, będzie uzależnione od wyników analizy ryzyka. Rozporządzenie nie określa, w jaki sposób przeprowadzić taką analizę, jakie wartości i zagrożenia należy w niej uwzględnić – pozostawiając to w gestii administratora danych. Środki bezpieczeństwa wykorzystywane dla ochrony danych nie mogą być więc takie same we wszystkich podmiotach, tylko powinny być adekwatne do zagrożeń, które mogą pojawić się w konkretnej jednostce.

Zgodnie z art. 25 ust. 1 administrator danych powinien wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.

Administrator może wykazać, że wywiązuje się z tych obowiązków, stosując m.in. zatwierdzony kodeks postępowania lub zatwierdzony mechanizm certyfikacji.

Uwaga

Każda jednostka, w zależności od realizowanych zadań, będzie musiała zdefiniować i określić własne ryzyka, które wiążą się z przetwarzaniem danych w tej jednostce. Jednak wcześniej należy określić zagrożenia, a także co ważne, ich źródło i przyczynę. Rodzaje zagrożeń mogą być związane z określonym sektorem działalności, wielkością podmiotu czy ilością przetwarzanych danych i wykorzystywanych do tego systemów. Administrator danych będzie musiał więc przeprowadzać analizę ryzyka dostosowaną do swojej działalności.

Prawidłowo przeprowadzona analiza ryzyka zidentyfikuje nie tylko zagrożenia, ale i ich przyczyny – co pozwoli wyprzedzająco zastosować środki zaradcze. Analiza ryzyka powinna być procesem cyklicznym, ponieważ zagrożenia i ich źródła ulegają nieustannym zmianom. Analiza ryzyka powinna być podstawą do opracowania polityki bezpieczeństwa oraz innych procedur w zakresie ochrony danych osobowych w danej jednostce.

Bezpieczeństwo danych przy powierzeniu przetwarzania

Istotne znaczenie ma również kwestia wyboru podmiotu, który będzie prowadził przetwarzanie danych w imieniu administratora. Zgodnie z ogólnym rozporządzeniem należy korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator musi więc wykazać się dużą starannością podczas wyboru takiego podmiotu. Ogólne rozporządzenie nie wskazuje jednak, jakie działania i środki należy podjąć, dokonując takiego wyboru.

Ważne jest, aby w umowie z podmiotem zewnętrznym zawrzeć wszystkie niezbędne elementy dotyczące warunków przetwarzania danych. Treść umowy powierzenia powinna być dostosowana do konkretnego przypadku i uwzględniać elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie danych. Aby zabezpieczyć dane osobowe przetwarzane w jednostce, administrator będzie musiał dostosować się do zapisów ogólnego rozporządzenia i przeanalizować zastosowane dotychczas zabezpieczenia.

Jowita Sobczak

Autor: Jowita Sobczak

ekspert ds ochrony danych osobowych, ekspert w komisji do spraw reformy prawa ochrony danych osobowych w Unii Europejskiej w Biurze GIODO

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel