Środki bezpieczeństwa danych nie mogą być inwazyjne
Stosowanie organizacyjnych i technicznych środków bezpieczeństwa samo w sobie może wiązać się z przetwarzaniem danych osobowych np. pracowników. Z tego względu administrator musi zapewnić bezpieczeństwo danych gromadzonych w związku ze stosowaniem środków bezpieczeństwa. W artykule wyjaśniamy, jakie obowiązki w związku z tym ma administrator.
Stosowanie środków bezpieczeństwa może wiązać się z przetwarzaniem danych
RODO nie przewiduje katalogu obowiązkowych środków bezpieczeństwa. Wybór tych środków, należy do administratora. Należy tu mieć na względzie, że gromadzenie i analizowanie informacji w ramach stosowanych zabezpieczeń (organizacyjnych lub technicznych) może wiązać się z przetwarzaniem danych osobowych. Stanie się tak, jeżeli zgromadzone informacje pozwolą na identyfikację konkretnej osoby fizycznej.
Przykład: Pracodawca w ramach sieci lokalnej stosuje monitorowanie logów. Jest to innymi słowy rejestrowanie działań użytkowników tej sieci. Logi wskazują na czynności konkretnego użytkownika oraz urządzenia, na których tych czynności dokonano. Zawierają one zatem informacje o identyfikatorze użytkownika w logach, a tym samym dane osobowe.
Nie każdy środek bezpieczeństwa będzie odpowiedni do zagrożenia
Wybór środków do zabezpieczenia danych nie musi ograniczać się do najdroższych czy uważanych za najskuteczniejsze na rynku. Liczy się to, by środki te proporcjonalne do faktycznych zagrożeń. Co więcej niektóre środki bezpieczeństwa mogą wydawać się bardzo skuteczne, ale za to mogą skutkować same w sobie nadmiarowych przetwarzanie danych osobowych. Takich środków nie należy wybierać do zabezpieczania sieci lokalnej.
Przykład: Pracodawca zainstalował kamery z systemem rozpoznawania twarzy w celu ograniczenia dostępu do hali produkcyjnej. System działa w ten sposób, że kamera rozpoznaje twarz, a następnie następuje automatyczne otwarcie drzwi dla wybranego pracownika. Takie rozwiązanie jest skuteczne w zabezpieczeniu dostępu do znajdujących się na hali dokumentów i systemów informatycznych. Niemniej jednak skutkuje nadmiarowym przetwarzaniem danych osobowych i to biometrycznych, które zapisywane są w sieci lokalnej. Zastosowany środek bezpieczeństwa jest więc nieadekwatny do zagrożenia. Równie dobrze taki poziom bezpieczeństwa można zapewnić dzięki stosowaniu zwykłych kart dostępu, co będzie zdecydowanie mniej inwazyjne dla danych pracowników.
Z artykułu dowiesz się m.in.:
- jaka może być podstawa przetwarzania danych w ramach stosowania środków bezpieczeństwa,
- dlaczego warto przeprowadzić test równowagi,
- jakie obowiązki spełnić w związku z monitorowaniem jako środkiem bezpieczeństwa,
- jaką dokumentację przygotować.
Zobacz, jak Portal PoradyODO.pl pomoże Ci wykonywać Twoją pracę bezbłędnie i zawsze na czas.
- Niezbędne wzory dokumentów – gotowe do wypełnienia, w pełni edytowalne, zgodne z RODO
- Listy kontrolne, które pokażą Ci, czy Ty i Twoja organizacja jesteście dostosowani do RODO w 100%
- Dostęp do pełnej bazy porad przez 24h
Jeśli masz już dostęp do Portalu, zaloguj się »
- Kary RODO za naruszenia ochrony danych - przegląd orzeczeń zagranicznych organów nadzorczych
- Jak zrealizować obowiązek informacyjny RODO mikroprzedsiębiorców
- RODO na YouTube - ochrona danych osobowych jako obowiązek youtubera
- Biuletyn Informacji Publicznej - administrator musi zawrzeć umowę powierzenia przetwarzania danych
- Kody QR a bezpieczeństwo danych osobowych
- Skarga do WSA na decyzję UODO – jak ją złożyć
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
