środki bezpieczeństwa

19414941fd77ea2e9a08083bc20a0f6b7dc0a137-xlarge (1)

Kontynuacja sprawy Virgin Mobile Polska – kara za brak środków bezpieczeństwa danych abonentów

Prezes UODO nałożył karę 1,6 mln zł na P4 Sp. z o.o., następcę prawnego Virgin Mobile Polska Sp. z o.o.  Tak wysoka kara była wynikiem niewdrożenia środków bezpieczeństwa przez Virgin Mobile.

środki bezpieczeństwa

Środki bezpieczeństwa danych nie mogą być inwazyjne

Stosowanie organizacyjnych i technicznych środków bezpieczeństwa samo w sobie może wiązać się z przetwarzaniem danych osobowych np. pracowników. Z tego względu administrator musi zapewnić bezpieczeństwo danych gromadzonych w związku ze stosowaniem środków bezpieczeństwa. W artykule wyjaśniamy, jakie obowiązki w związku z tym ma administrator.

Stosowanie środków bezpieczeństwa może wiązać się z przetwarzaniem danych

RODO nie przewiduje katalogu obowiązkowych środków bezpieczeństwa. Wybór tych środków, należy do administratora. Należy tu mieć na względzie, że gromadzenie i analizowanie informacji w ramach stosowanych zabezpieczeń (organizacyjnych lub technicznych) może wiązać się z przetwarzaniem danych osobowych. Stanie się tak, jeżeli zgromadzone informacje pozwolą na identyfikację konkretnej osoby fizycznej.

Przykład: Pracodawca w ramach sieci lokalnej stosuje monitorowanie logów. Jest to innymi słowy rejestrowanie działań użytkowników tej sieci. Logi wskazują na czynności konkretnego użytkownika oraz urządzenia, na których tych czynności dokonano. Zawierają one zatem informacje o identyfikatorze użytkownika w logach, a tym samym dane osobowe.

Nie każdy środek bezpieczeństwa będzie odpowiedni do zagrożenia

Wybór środków do zabezpieczenia danych nie musi ograniczać się do najdroższych czy uważanych za najskuteczniejsze na rynku. Liczy się to, by środki te proporcjonalne do faktycznych zagrożeń. Co więcej niektóre środki bezpieczeństwa mogą wydawać się bardzo skuteczne, ale za to mogą skutkować same w sobie nadmiarowych przetwarzanie danych osobowych. Takich środków nie należy wybierać do zabezpieczania sieci lokalnej.

Przykład: Pracodawca zainstalował kamery z systemem rozpoznawania twarzy w celu ograniczenia dostępu do hali produkcyjnej. System działa w ten sposób, że kamera rozpoznaje twarz, a następnie następuje automatyczne otwarcie drzwi dla wybranego pracownika. Takie rozwiązanie jest skuteczne w zabezpieczeniu dostępu do znajdujących się na hali dokumentów i systemów informatycznych. Niemniej jednak skutkuje nadmiarowym przetwarzaniem danych osobowych i to biometrycznych, które zapisywane są w sieci lokalnej. Zastosowany środek bezpieczeństwa jest więc nieadekwatny do zagrożenia. Równie dobrze taki poziom bezpieczeństwa można zapewnić dzięki stosowaniu zwykłych kart dostępu, co będzie zdecydowanie mniej inwazyjne dla danych pracowników.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jaka może być podstawa przetwarzania danych w ramach stosowania środków bezpieczeństwa,
  • dlaczego warto przeprowadzić test równowagi,
  • jakie obowiązki spełnić w związku z monitorowaniem jako środkiem bezpieczeństwa,
  • jaką dokumentację przygotować.
wyrok sądu

WSA: to administrator a nie pracownik wdraża środki bezpieczeństwa

Po raz kolejny Wojewódzki Sąd Administracyjny w Warszawie podtrzymał decyzję Prezesa UODO. Tym razem chodzi o rozstrzygnięcie, w którym wymierzono karę Prezesowi Sądu Rejonowego w Zgierzu. Sprawdzamy, jakie wnioski można wysnuć z wyroku.

87db0216482722ef6adfadffd7854ee1465dc127-xlarge (2)

Politechnika Warszawska ukarana za niewystarczające zabezpieczenie danych

Niezastosowanie adekwatnych środków bezpieczeństwa było główną przyczyną ukarania Politechniki Warszawskiej. Uczelnia musi zapłacić karę w wysokości 45 tys. zł.

4eedc0fc77590787dffb9f8e783aa61908f306f1-xlarge

Archiwalny Jakie środki bezpieczeństwa przy zarządzaniu stroną internetową przez pracowników

Pracodawca może zobligować pracownika do prowadzenia firmowej strony internetowej. Oczywiście może to wiązać się z przetwarzaniem danych osobowych. Czy pracownicy mogą wykorzystywać w tym celu prywatne komputery? Jakie środki bezpieczeństwa danych warto wprowadzić w takim przypadku w celu ochrony danych osobowych?

Czy ADO z sektora publicznego będzie musiał szyfrować dane zgodnie z RODO

Czy ADO z sektora publicznego będzie musiał szyfrować dane zgodnie z RODO

Pytanie:  Czy zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) jednostki samorządu terytorialnego, jako administratorzy danych, od 25 maja 2018 r. będą zobligowane do zastosowania szczególnych sposobów zabezpieczania danych osobowych, np. szyfrowania danych osobowych?
Sprawdź, jakie środki bezpieczeństwa danych zastosować zgodnie z ogólnym rozporządzeniem

Sprawdź, jakie środki bezpieczeństwa danych zastosować zgodnie z ogólnym rozporządzeniem

Już za niewiele ponad rok przetwarzanie danych osobowych będzie odbywało się na zasadach unijnego rozporządzenia ogólnego o ochronie danych. Wprowadza ono m.in. nowe wymogi odnośnie stosowania środków bezpieczeństwa danych osobowych. Sprawdź, jak po 25 maja 2018 r. trzeba będzie zabezpieczać dane osobowe.

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x