Sprawdź, jakie środki bezpieczeństwa danych zastosować zgodnie z ogólnym rozporządzeniem

Podmioty, które przetwarzają lub zamierzają przetwarzać dane osobowe, będą musiały zastosować się do nowych wymogów odnośnie do bezpieczeństwa danych osobowych, które wprowadza ogólne rozporządzenie o ochronie danych. Trzeba będzie dokonać przeglądu dotychczasowo stosowanych zabezpieczeń organizacyjnych i technicznych. Administratorzy będą musieli dostosować zarówno regulacje wewnętrzne, jak i narzędzia, które służą do ochrony danych osobowych, w tym zwłaszcza te informatyczne.

Zgodnie z 32 ogólnego rozporządzenia administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, będzie musiał wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ogólne rozporządzenie wskazuje m.in.:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

To, jakie środki bezpieczeństwa zastosuje administrator, będzie uzależnione od wyników analizy ryzyka. Rozporządzenie nie określa, w jaki sposób przeprowadzić taką analizę, jakie wartości i zagrożenia należy w niej uwzględnić – pozostawiając to w gestii administratora danych. Środki bezpieczeństwa wykorzystywane dla ochrony danych nie mogą być więc takie same we wszystkich podmiotach, tylko powinny być adekwatne do zagrożeń, które mogą pojawić się w konkretnej jednostce.

Zgodnie z art. 25 ust. 1 administrator danych powinien wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania.

Administrator może wykazać, że wywiązuje się z tych obowiązków, stosując m.in. zatwierdzony kodeks postępowania lub zatwierdzony mechanizm certyfikacji.

Prawidłowo przeprowadzona analiza ryzyka zidentyfikuje nie tylko zagrożenia, ale i ich przyczyny – co pozwoli wyprzedzająco zastosować środki zaradcze. Analiza ryzyka powinna być procesem cyklicznym, ponieważ zagrożenia i ich źródła ulegają nieustannym zmianom. Analiza ryzyka powinna być podstawą do opracowania polityki bezpieczeństwa oraz innych procedur w zakresie ochrony danych osobowych w danej jednostce.

Istotne znaczenie ma również kwestia wyboru podmiotu, który będzie prowadził przetwarzanie danych w imieniu administratora. Zgodnie z ogólnym rozporządzeniem należy korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczającą gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi ogólnego rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator musi więc wykazać się dużą starannością podczas wyboru takiego podmiotu. Ogólne rozporządzenie nie wskazuje jednak, jakie działania i środki należy podjąć, dokonując takiego wyboru.

Ważne jest, aby w umowie z podmiotem zewnętrznym zawrzeć wszystkie niezbędne elementy dotyczące warunków przetwarzania danych. Treść umowy powierzenia powinna być dostosowana do konkretnego przypadku i uwzględniać elementy gwarantujące prawidłowe zabezpieczenie i przetwarzanie danych. Aby zabezpieczyć dane osobowe przetwarzane w jednostce, administrator będzie musiał dostosować się do zapisów ogólnego rozporządzenia i przeanalizować zastosowane dotychczas zabezpieczenia.