REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Zabezpieczenie danych według RODO

Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
Internet, bezpieczeństwo, RODO/ Fot. Fotolia
Internet, bezpieczeństwo, RODO/ Fot. Fotolia
Fotolia

REKLAMA

REKLAMA

RODO nie narzuca na administratora konkretnych obowiązków, ale brak wdrożenia przez niego podstawowych zabezpieczeń stanowi wysokie ryzyko dla poufności przetwarzanych przez niego danych. Zapewnienie bezpieczeństwa to nie tylko bezpieczeństwo sieci i systemów, ale także urządzeń mobilnych, pomieszczeń i przede wszystkim edukacja ludzi.

Jakie wytyczne w zakresie zabezpieczenia danych daje RODO?

Art. 32 ust. 1. RODO określa zasady zapewnienia bezpieczeństwa. Punktem wyjścia jest przeprowadzenie analizy ryzyka naruszenia bezpieczeństwa danych osobowych. Administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

REKLAMA

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Zobacz również: RODO 2018: obowiązek informacyjny (wzór)

Unijny ustawodawca odchodzi od dotychczasowych sztywnych reguł, które ze względu na swoją „uniwersalność” mimo najlepszych intencji, dawały niski poziom gwarancji bezpieczeństwa, na rzecz elastycznych, dobieranych indywidualnie rozwiązań. O tym, czy zostały właściwie dobrane, zadecyduje ich skuteczność. Administrator danych musi być w stanie wytłumaczyć się z przyjętych zabezpieczeń i odpowie za podjęte decyzje, w sytuacji naruszenia poufności danych (dlaczego wybrał tego, a nie innego wykonawcę, dlaczego wybrał konkretne środki zaradcze). Co istotne RODO pozwala dobrać różne środki bezpieczeństwa dla różnych danych/procesów, co ma duże znaczenie dla planowania i rozkładania kosztów zabezpieczeń. Wskazuje jedynie wytyczne w zakresie prawidłowych rozwiązań:

  • pseudonimizację i szyfrowanie danych osobowych
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  • Mówiąc krótko, jednym z najważniejszych zadań jest ciągłe sprawdzanie i ulepszanie przyjętych procedur. Warto podkreślić, że powinny być takie procedury, a ich brak może stanowić duży problem, przy wykazaniu, że administrator danych rzeczywiście wywiązał się skutecznie z wymagań właściwego zabezpieczenia danych.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Dalszy ciąg materiału pod wideo

REKLAMA

Minimum dobrych praktyk to szyfrowanie danych, gdy tylko to możliwe. Jeżeli zwrócicie uwagę na liczbę stron internetowych zawierających formularze służące do wprowadzania danych osobowych, które w żaden sposób nie zabezpieczają transferu tych danych ze strony, to zrozumiecie jak daleko jesteśmy od wdrożenia minimum niezbędnych zabezpieczeń.

RODO nie narzuca na administratora konkretnych obowiązków, ale brak wdrożenia przez niego podstawowych zabezpieczeń dla danych, stanowi wysokie ryzyko dla poufności przetwarzanych przez niego danych (co więcej, jeżeli nie wdrożył procedur gwarantujących rozliczalność, to nawet nie będzie wiedział, że ktoś mu te dane wykrada).

Moim zdaniem każda strona internetowa, która zawiera formularz/okienko pozwalające wprowadzić dane (formularz kontaktowy, zapis do newslettera, formularz konkursowy) powinna być zabezpieczona certyfikatem SSL. Podobnie jak system, do którego są przesyłane dane z tej strony. Dane w tym systemie powinny być zabezpieczone nie tylko hasłem, ale także w taki sposób, aby w przypadku ich (tfu, tfu) wykradzenia, odczytanie tych danych będzie wymagało dużego nakładu pracy (ponieważ dane w bazie są szyfrowane lub rozproszone).

REKLAMA

Tak samo nie powinno się tworzyć ustępstw w procedurach bezpieczeństwa. Ograniczanie uprawnień użytkownikom, aby nie mogli samodzielnie instalować oprogramowania i dokonywać zmian w systemie, to niezbędne minimum, jakie powinno się stosować. Dawanie wybranym użytkownikom wyższych uprawnień, może stanowić zagrożenie dla całej organizacji.

Zapewnienie bezpieczeństwa to nie tylko bezpieczeństwo sieci i systemów (tutaj zawsze da się coś zrobić lepiej i więcej), ale także urządzeń mobilnych, pomieszczeń i przede wszystkim, na pierwszym miejscu, edukacja ludzi. To ludzie stanowią najsłabsze i najsilniejsze ogniwo każdego systemu bezpieczeństwa. Dbanie o podnoszenie ich wiedzy i świadomości stanowi absolutne minimum w zakresie gwarantowania bezpieczeństwa danych osobowych.

W tym artykule nie podam Wam konkretnych rozwiązań – RODO też ich nie podaje. Ale chcę Wam zwrócić uwagę, że RODO wymaga od Was, żebyście przez chwilę zastanowili się, jakie są słabe strony Waszych systemów zarządzania bezpieczeństwem informacji i co możecie zrobić, aby je uszczelnić. I powinniście być w stanie wytłumaczyć się z podjętych decyzji. Polecam Wam wytyczne GIODO: Jak rozumieć podejście oparte na ryzyku według RODO?

Polecamy serwis: RODO w firmie

Autopromocja

REKLAMA

Źródło: INFOR
Czy ten artykuł był przydatny?
tak
nie
Dziękujemy za powiadomienie - zapraszamy do subskrybcji naszego newslettera
Jeśli nie znalazłeś odpowiedzi na swoje pytania w tym artykule, powiedz jak możemy to poprawić.
UWAGA: Ten formularz nie służy wysyłaniu zgłoszeń . Wykorzystamy go aby poprawić artykuł.
Jeśli masz dodatkowe pytania prosimy o kontakt

REKLAMA

Komentarze(0)

Pokaż:

Uwaga, Twój komentarz może pojawić się z opóźnieniem do 10 minut. Zanim dodasz komentarz -zapoznaj się z zasadami komentowania artykułów.
    QR Code

    © Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

    Moja firma
    Zapisz się na newsletter
    Zobacz przykładowy newsletter
    Zapisz się
    Wpisz poprawny e-mail
    Informacja o zaległości w ZUS na 0,01 zł wysyłana jest listem poleconym, a najwięksi gracze nie płacą milionowych zadłużeń

    Zadłużenie aktywnych płatników w ZUS rośnie. Rekordzista wśród aktywnych płatników jest zadłużony na ponad 822 mln zł. Czy ZUS może sam zmieniać przepisy? 

    Według danych udostępnionych przez ZUS, na koniec 2023 roku maksymalna kwota zadłużenia aktywnego płatnika wyniosła przeszło 822 mln zł. Rok wcześniej była o 3,5 mln zł mniejsza. Wśród komentujących te dane ekspertów nie brakuje opinii, że dopuszczenie do takiej sytuacji jest skandalem. Z kolei Zakład przekonuje, że sam nie może zmieniać przepisów. Jednak według znawców tematu, ZUS ma odpowiednie narzędzia do ściągania należności i nawet niewielkie kwoty są skutecznie egzekwowane od przedsiębiorców. Do tego po danych widać, że średnie zadłużenie aktywnych płatników wzrosło rok do roku o ponad 3 tys. zł, tj. do wartości blisko 31 tys. zł.

    Czy trzeba płacić ZUS gdy działalność gospodarczą się zawiesi, czy przerwę w biznesie można zrobić tylko raz w roku czy wiele razy

    Działalność gospodarczą wpisaną do CEIDG można zawiesić pod warunkiem, że nie zatrudnia się pracowników. Dlatego co do zasady nie trzeba dodatkowo załatwiać formalności w ZUS.

    Przestępstwa finansowe. Zorganizowane grupy zajmują się praniem brudnych pieniędzy i korumpowaniem urzędników: co trzeba wiedzieć

    Korupcja, pranie pieniędzy, wyłudzenia, ataki hakerskie – to realne zagrożenia XXI wieku. Obecnie przestępczość finansowa, cyberprzestępczość oraz nowoczesne technologie są mocno ze sobą związane.

    Jak jeździć ekologicznie i oszczędnie. Pięć zasad sprawdzonych w praktyce i zalecanych każdej firmie transportowej

    W dobie rosnących kosztów firm transportowych i spowolnienia gospodarczego ekonomiczna jazda przestała być zjawiskiem sporadycznym, a stała się koniecznością i jednym ze sposobów na redukcję wydatków. Jakie są więc najważniejsze zasady ekonomicznej jazdy? 

    REKLAMA

    Zboża ozime wiosną - jak nawozić dolistnie. 5 kluczowych wskazówek

    Jedną z najefektywniejszych form pielęgnacji (dokarmiania) zbóż ozimych wiosną jest nawożenie dolistne. Dobrze przemyślane działania agrotechniczne wraz z odpowiednim wyborem samego nawozu to korzyść dla roślin, a przede wszystkim dla rolnika. 

    Wakacje składkowe – zmiany w projekcie nowelizacji

    Na stronie Rządowego Centrum Legislacji (RCL) została opublikowana nowa wersja projektu nowelizacji ustawy o systemie ubezpieczeń społecznych, która wprowadza tzw. wakacje składkowe. Przewiduje ona m.in. zmiany w zakresie podmiotów uprawnionych do takiej ulgi.

    Firma, która dopuściła do wycieku danych jej klientów traci renomę a także chętnych na zakup jej produktów

    Firmy pracują nad rozwojem marki i jej rozpoznawalnością wiele lat, po czym jedno fatalne zdarzenia burzy cały ten wysiłek. Takim incydentem w naszych czasach jest przede wszystkim wyciek danych klientów. Straconej w ten sposób reputacji marka nie jest w stanie odbudować.

    Zdaniem ZUS należy opłacać składki od wynagrodzenia wspólnika sp. z o.o. za czynności wykonywane na rzecz spółki

    ZUS w swoich najnowszych interpretacjach stwierdził, że wspólnik sp. z o.o., który za czynności wykonywane na rzecz spółki (tj. czynności określone w umowie spółki), bez zawierania ze spółką odrębnej umowy cywilnoprawnej otrzymuje wynagrodzenie, będzie objęty ubezpieczeniami społecznymi z tego tytułu jako zleceniobiorca.

    REKLAMA

    ARiMR - ostatnie 2 dni na wnioski o dofinansowanie ubezpieczenia zwierząt!

    Zostały ostatnie 2 dni dla rolników na złożenie wniosków o zwrot części kosztów ubezpieczenia zwierząt. Kto może złożyć wniosek o dofinansowanie?

    AI Act zatwierdzony. Kiedy wejdzie w życie? 5 wniosków, które są szczególnie ważne dla firm z sektora biomedycznego

    Znamy już finalny, zaakceptowany przez państwa członkowskie draft AI Act – unijnej ustawy o Sztucznej Inteligencji. Jaki wpływ wywrze ona na działalność firm z sektora biomedycznego? Prezentujemy 5 najważniejszych wniosków. 

    REKLAMA