Bezpieczeństwo przetwarzania danych osobowych w praktyce
Zgodnie z RODO – ogólnym rozporządzeniem 2016/679 o ochronie danych osobowych – to na administratorze i podmiocie przetwarzającym dane osobowe ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych. Co w praktyce oznacza hasło „bezpieczeństwo przetwarzania danych osobowych” zgodnie z RODO? Jak je zapewnić? O tym poniżej.
Po co nam bezpieczeństwo przetwarzania danych?
Po co ustawodawca nakłada obowiązek zapewnienia bezpieczeństwa przetwarzania danych?Wymogi dotyczące wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych – takich, które mają zapewnić bezpieczeństwo danych osobowych są nakładane na administratorów i podmioty przetwarzające dane po to, aby zapewnić skuteczną ochronę danych osobowych nas wszystkich – osób, których dane są zbierane. Każdemu z nas zależy przecież, aby nasze dane osobowe były ważne, szanowane i nie krążyły bezwolnie po sieci, prawda? Dlatego wymóg zapewnienia bezpieczeństwa to sposób na zapewnienie bezpieczeństwa danych nas wszystkich. Pamiętając o tym dużo łatwiej jest nam podejść do realizowania obowiązku zapewnienia bezpieczeństwa danych w praktyce.
Bezpieczeństwo przetwarzania danych w RODO
Co o obowiązku zapewnienia bezpieczeństwa przetwarzania danych mówią przepisy prawa?Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych został określony między innymi w art. 32 RODO, zgodnie z którym:
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Przykładowymi działaniami, które – jak podpowiada RODO – administrator lub podmiot przetwarzający możne podjąć w celu zapewnienia bezpieczeństwa są między innymi:
- pseudonimizacja i szyfrowanie danych osobowych;
- wdrożenie mechanizmów, które zapewnią poufność, integralność, dostępność i odporność systemów i usług przetwarzania danymi osobowymi;
- wdrożenie mechanizmów do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (np. wycieku danych);
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Krok #1: Analiza ryzyka
RODO zaleca administratorowi i podmiotowi przetwarzającemu dokonanie analizy ryzyka, jakie wiąże się z przetwarzaniem danych. Przeprowadzenie tego rodzaju analizy ma pozwolić na dobór odpowiednich środków technicznych i organizacyjnych pozwalających na zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych.
Co należy uwzględnić w praktyce przy dokonywaniu analizy ryzyka? Zgodnie z RODO przy dokonywaniu analizy należy uwzględnić ryzyko wiążące się z przetwarzaniem danych, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Krok #2: Dobór odpowiednich środków technicznych i organizacyjnych
- Bezpieczeństwo przetwarzania danych a środki techniczne
We wspomnianym wyżej art. 32 RODO nakazuje zastosować „odpowiednie środki techniczne i organizacyjne”. Czym są odpowiednie „środki techniczne”?
Techniczne środki bezpieczeństwa to rożnego rodzaju rozwiązania o charakterze sprzętowym oraz programowym (m.in. urządzenia, systemy, oprogramowanie), które służą zapewnieniu odpowiedniego poziomu bezpieczeństwa danych. Mogą one mieć charakter podstawowych zabezpieczeń fizycznych (przykładowo – zamek w drzwiach, system alarmowy) bądź logicznych (na przykład oprogramowanie szyfrujące).
Jako przykłady środków technicznych RODO wskazuje pseudonimizację lub szyfrowanie danych. Ale uwaga! Wskazanie ich wcale nie oznacza obowiązku ich stosowania w każdym przypadku. Wskazanie ich w RODO oznacza jedynie na możliwość ich zastosowania – ale tylko jeśli będą one odpowiednie w konkretnym przypadku.
- Bezpieczeństwo przetwarzania danych a środki organizacyjne
Oprócz środków technicznych RODO wymienia również środki organizacyjne, czyli różnego rodzaju rozwiązania odnoszące się do sposobu zorganizowania procesów przetwarzania danych. Do tego rodzaju środków zabezpieczeń można zaliczyć m.in.:
- ustalenie zasad dostępu do danych,
- reguł pobierania kluczy,
- wydzielenie stref ograniczonego dostępu osób postronnych itp.
Opis technicznych i organizacyjnych środków bezpieczeństwa danych powinien zaś stanowić element rejestru czynności przetwarzania, którego prowadzenie jest obowiązkiem administratora i podmiotu przetwarzającego.
Bezpieczeństwo przetwarzania danych w praktyce
Co istotne, RODO nie narzuca konkretnych działań, które należy podjąć aby zapewnić bezpieczeństwo danych. Nie nakłada – przykładowo – obowiązku zastosowania najbardziej zaawansowanych technologicznie lub najdroższych rozwiązań.
RODO jedynie „podpowiada” jakie ryzyka należy uwzględnić, aby administrator lub podmiot przetwarzający na zlecenie mogli samodzielnie dobrać odpowiednie – dla nich i ich biznesu – środki zabezpieczenia danych.
Wybierając odpowiednie środki zabezpieczenia danych RODO nakazuje uwzględnić – obok ryzyka – również takie istotne czynników, jak odpowiedni dla danego podmiotu:
- stan wiedzy technicznej,
- koszt wdrażania oraz charakter, zakres, kontekst
- cele przetwarzania.
To oznacza, że administrator lub podmiot przetwarzający powinien samodzielnie dobrać zabezpieczenia, uwzględniając zarówno potrzeby, jak i możliwości.
***
Zobacz także: RODO dla twórców internetowych. Jakie dokumenty powinny znaleźć się na stronie internetowej?
Jeśli szukasz sprawdzonych i bezpiecznych wzorów dokumentów wraz z instrukcją prawidłowego uzupełnienia dokumentów oraz zamieszczenia ich na stronie internetowej to Pakiet podstawowy RODO jest właśnie dla Ciebie.
fot.: Christin Hume on Unsplash