Bezpieczeństwo przetwarzania danych osobowych w praktyce

Zgodnie z RODO – ogólnym rozporządzeniem 2016/679 o ochronie danych osobowych – to na administratorze i podmiocie przetwarzającym dane osobowe ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych. Co w praktyce oznacza hasło „bezpieczeństwo przetwarzania danych osobowych” zgodnie z RODO? Jak je zapewnić? O tym poniżej.

Po co nam bezpieczeństwo przetwarzania danych?

Po co ustawodawca nakłada obowiązek zapewnienia bezpieczeństwa przetwarzania danych?Wymogi dotyczące wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych – takich, które mają zapewnić bezpieczeństwo danych osobowych są nakładane na administratorów i podmioty przetwarzające dane po to, aby zapewnić skuteczną ochronę danych osobowych nas wszystkich – osób, których dane są zbierane. Każdemu z nas zależy przecież, aby nasze dane osobowe były ważne, szanowane i nie krążyły bezwolnie po sieci, prawda? Dlatego wymóg zapewnienia bezpieczeństwa to sposób na zapewnienie bezpieczeństwa danych nas wszystkich. Pamiętając o tym dużo łatwiej jest nam podejść do realizowania obowiązku zapewnienia bezpieczeństwa danych w praktyce.

Bezpieczeństwo przetwarzania danych w RODO

Co o obowiązku zapewnienia bezpieczeństwa przetwarzania danych mówią przepisy prawa?Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych został określony między innymi w art. 32 RODO, zgodnie z którym:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Przykładowymi działaniami, które – jak podpowiada RODO – administrator lub podmiot przetwarzający możne podjąć w celu zapewnienia bezpieczeństwa są między innymi:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • wdrożenie mechanizmów, które zapewnią poufność, integralność, dostępność i odporność systemów i usług przetwarzania danymi osobowymi;
  • wdrożenie mechanizmów do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (np. wycieku danych);
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Krok #1: Analiza ryzyka

RODO zaleca administratorowi i podmiotowi przetwarzającemu dokonanie analizy ryzyka, jakie wiąże się z przetwarzaniem danych. Przeprowadzenie tego rodzaju analizy ma pozwolić na dobór odpowiednich środków technicznych i organizacyjnych pozwalających na zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych.

Co należy uwzględnić w praktyce przy dokonywaniu analizy  ryzyka? Zgodnie z RODO przy dokonywaniu analizy należy uwzględnić ryzyko wiążące się z przetwarzaniem danych, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Krok #2: Dobór odpowiednich środków technicznych i organizacyjnych

  • Bezpieczeństwo przetwarzania danych a środki techniczne

We wspomnianym wyżej art. 32 RODO nakazuje zastosować „odpowiednie środki techniczne i organizacyjne”. Czym są odpowiednie „środki techniczne”?

Techniczne środki bezpieczeństwa to rożnego rodzaju rozwiązania o charakterze sprzętowym oraz programowym (m.in. urządzenia, systemy, oprogramowanie), które służą zapewnieniu odpowiedniego poziomu bezpieczeństwa danych. Mogą one mieć charakter podstawowych zabezpieczeń fizycznych (przykładowo –  zamek w drzwiach, system alarmowy) bądź logicznych (na przykład oprogramowanie szyfrujące).

Jako przykłady środków technicznych RODO wskazuje pseudonimizację lub szyfrowanie danych. Ale uwaga! Wskazanie ich wcale nie oznacza obowiązku ich stosowania w każdym przypadku. Wskazanie ich w RODO oznacza jedynie na możliwość ich zastosowania – ale tylko jeśli  będą one odpowiednie w konkretnym przypadku.

  • Bezpieczeństwo przetwarzania danych a środki organizacyjne

Oprócz środków technicznych RODO wymienia również środki organizacyjne, czyli różnego rodzaju rozwiązania odnoszące się do sposobu zorganizowania procesów przetwarzania danych. Do tego rodzaju środków zabezpieczeń można zaliczyć m.in.:

  • ustalenie zasad dostępu do danych,
  • reguł pobierania kluczy,
  • wydzielenie stref ograniczonego dostępu osób postronnych itp.

Opis technicznych i organizacyjnych środków bezpieczeństwa danych powinien zaś stanowić element rejestru czynności przetwarzania, którego prowadzenie jest obowiązkiem administratora i podmiotu przetwarzającego.

Bezpieczeństwo przetwarzania danych w praktyce

Co istotne, RODO nie narzuca konkretnych działań, które należy podjąć aby zapewnić bezpieczeństwo danych. Nie nakłada – przykładowo – obowiązku zastosowania najbardziej zaawansowanych technologicznie lub najdroższych rozwiązań.

RODO jedynie „podpowiada”  jakie ryzyka należy uwzględnić, aby administrator lub podmiot przetwarzający na zlecenie mogli samodzielnie dobrać odpowiednie – dla nich i ich biznesu – środki zabezpieczenia danych.

Wybierając odpowiednie środki zabezpieczenia danych RODO nakazuje uwzględnić – obok ryzyka – również takie istotne czynników, jak odpowiedni dla danego podmiotu:

  • stan wiedzy technicznej,
  • koszt wdrażania oraz charakter, zakres, kontekst
  • cele przetwarzania.

To oznacza, że administrator lub podmiot przetwarzający powinien samodzielnie dobrać zabezpieczenia, uwzględniając zarówno potrzeby, jak i możliwości.

***

Zobacz także: RODO dla twórców internetowych. Jakie dokumenty powinny znaleźć się na stronie internetowej?

Jeśli szukasz sprawdzonych i bezpiecznych wzorów dokumentów wraz z instrukcją prawidłowego uzupełnienia dokumentów oraz zamieszczenia ich na stronie internetowej to Pakiet podstawowy RODO jest właśnie dla Ciebie.

fot.: Christin Hume on Unsplash

Czy wiesz, że Lookreatywni to nie tylko baza wiedzy?

Jesteśmy zaufanym partnerem, który nie tylko doradza i zabezpiecza klienta pod względem prawnym, ale również wspiera go biznesowo.