środki bezpieczeństwa danych

RODO nie podaje na tacy środków bezpieczeństwa

W rozporządzeniu unijnym nie wskazano więc żadnych obligatoryjnych środków bezpieczeństwa przetwarzanych danych osobowych takich jak np. szyfrowanie, kraty w oknach czy dostęp z wykorzystaniem loginu i hasła. W RODO znajdziemy jedynie ogólne wytyczne dotyczące stosowania środków bezpieczeństwa adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. Administrator musi wdrożyć środki techniczne i organizacyjne, uwzględniając:

• charakter, zakres, kontekst i cele przetwarzania,
• ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (art. 24 RODO).

ADO powinien samodzielnie ocenić, czy i jakie środki należy podjąć w odniesieniu do przetwarzanych danych osobowych, znając specyfikę środowiska swojej organizacji i warunki, w jakich te dane mogą być przetwarzane.

Administrator musi przy tym być gotowy do wykazania stosowania tych środków.

4 rodzaje zabezpieczeń

Środki bezpieczeństwa dzieli się na 4 rodzaje.

Rodzaje zabezpieczeń	Przykłady
prawne	Chodzi tu o regulacje prawne obowiązujące u danego administratora (przepisy wewnętrznie obowiązujące) np. polityka bezpieczeństwa, instrukcja zarządzania systemem IT.
organizacyjne	Są to rozwiązania administracyjne typu: polityka kluczy, ewidencja przydziału kluczy, polityka haseł, zasady udzielania i cofania upoważnień do przetwarzania danych.
informatyczne	Rozumie się przez to środki elektroniczne służące zachowaniu bezpieczeństwa i integralności przetwarzanych danych np.: firewall, oprogramowanie antywirusowe, infrastruktura sieciowa, system wykrywania naruszeń.
fizyczne	Przeczytasz o nich w dalszej części artykułu.

Stosowanie środków bezpieczeństwa może wiązać się z przetwarzaniem danych

RODO nie przewiduje katalogu obowiązkowych środków bezpieczeństwa. Wybór tych środków, należy do administratora. Należy tu mieć na względzie, że gromadzenie i analizowanie informacji w ramach stosowanych zabezpieczeń (organizacyjnych lub technicznych) może wiązać się z przetwarzaniem danych osobowych. Stanie się tak, jeżeli zgromadzone informacje pozwolą na identyfikację konkretnej osoby fizycznej.

Przykład: Pracodawca w ramach sieci lokalnej stosuje monitorowanie logów. Jest to innymi słowy rejestrowanie działań użytkowników tej sieci. Logi wskazują na czynności konkretnego użytkownika oraz urządzenia, na których tych czynności dokonano. Zawierają one zatem informacje o identyfikatorze użytkownika w logach, a tym samym dane osobowe.

Nie każdy środek bezpieczeństwa będzie odpowiedni do zagrożenia

Wybór środków do zabezpieczenia danych nie musi ograniczać się do najdroższych czy uważanych za najskuteczniejsze na rynku. Liczy się to, by środki te proporcjonalne do faktycznych zagrożeń. Co więcej niektóre środki bezpieczeństwa mogą wydawać się bardzo skuteczne, ale za to mogą skutkować same w sobie nadmiarowych przetwarzanie danych osobowych. Takich środków nie należy wybierać do zabezpieczania sieci lokalnej.

Przykład: Pracodawca zainstalował kamery z systemem rozpoznawania twarzy w celu ograniczenia dostępu do hali produkcyjnej. System działa w ten sposób, że kamera rozpoznaje twarz, a następnie następuje automatyczne otwarcie drzwi dla wybranego pracownika. Takie rozwiązanie jest skuteczne w zabezpieczeniu dostępu do znajdujących się na hali dokumentów i systemów informatycznych. Niemniej jednak skutkuje nadmiarowym przetwarzaniem danych osobowych i to biometrycznych, które zapisywane są w sieci lokalnej. Zastosowany środek bezpieczeństwa jest więc nieadekwatny do zagrożenia. Równie dobrze taki poziom bezpieczeństwa można zapewnić dzięki stosowaniu zwykłych kart dostępu, co będzie zdecydowanie mniej inwazyjne dla danych pracowników.