REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Zabezpieczenie danych według RODO

Zabezpieczenie danych według RODO

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
22 marca 2018, 13:06
Sylwia Czub-Kiełczewska
Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
Internet, bezpieczeństwo, RODO/ Fot. Fotolia
Internet, bezpieczeństwo, RODO/ Fot. Fotolia
Fotolia

REKLAMA

REKLAMA

RODO nie narzuca na administratora konkretnych obowiązków, ale brak wdrożenia przez niego podstawowych zabezpieczeń stanowi wysokie ryzyko dla poufności przetwarzanych przez niego danych. Zapewnienie bezpieczeństwa to nie tylko bezpieczeństwo sieci i systemów, ale także urządzeń mobilnych, pomieszczeń i przede wszystkim edukacja ludzi.

Jakie wytyczne w zakresie zabezpieczenia danych daje RODO?

Art. 32 ust. 1. RODO określa zasady zapewnienia bezpieczeństwa. Punktem wyjścia jest przeprowadzenie analizy ryzyka naruszenia bezpieczeństwa danych osobowych. Administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

REKLAMA

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Zobacz również: RODO 2018: obowiązek informacyjny (wzór)

Unijny ustawodawca odchodzi od dotychczasowych sztywnych reguł, które ze względu na swoją „uniwersalność” mimo najlepszych intencji, dawały niski poziom gwarancji bezpieczeństwa, na rzecz elastycznych, dobieranych indywidualnie rozwiązań. O tym, czy zostały właściwie dobrane, zadecyduje ich skuteczność. Administrator danych musi być w stanie wytłumaczyć się z przyjętych zabezpieczeń i odpowie za podjęte decyzje, w sytuacji naruszenia poufności danych (dlaczego wybrał tego, a nie innego wykonawcę, dlaczego wybrał konkretne środki zaradcze). Co istotne RODO pozwala dobrać różne środki bezpieczeństwa dla różnych danych/procesów, co ma duże znaczenie dla planowania i rozkładania kosztów zabezpieczeń. Wskazuje jedynie wytyczne w zakresie prawidłowych rozwiązań:

  • pseudonimizację i szyfrowanie danych osobowych
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  • Mówiąc krótko, jednym z najważniejszych zadań jest ciągłe sprawdzanie i ulepszanie przyjętych procedur. Warto podkreślić, że powinny być takie procedury, a ich brak może stanowić duży problem, przy wykazaniu, że administrator danych rzeczywiście wywiązał się skutecznie z wymagań właściwego zabezpieczenia danych.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Dalszy ciąg materiału pod wideo

REKLAMA

Minimum dobrych praktyk to szyfrowanie danych, gdy tylko to możliwe. Jeżeli zwrócicie uwagę na liczbę stron internetowych zawierających formularze służące do wprowadzania danych osobowych, które w żaden sposób nie zabezpieczają transferu tych danych ze strony, to zrozumiecie jak daleko jesteśmy od wdrożenia minimum niezbędnych zabezpieczeń.

RODO nie narzuca na administratora konkretnych obowiązków, ale brak wdrożenia przez niego podstawowych zabezpieczeń dla danych, stanowi wysokie ryzyko dla poufności przetwarzanych przez niego danych (co więcej, jeżeli nie wdrożył procedur gwarantujących rozliczalność, to nawet nie będzie wiedział, że ktoś mu te dane wykrada).

Moim zdaniem każda strona internetowa, która zawiera formularz/okienko pozwalające wprowadzić dane (formularz kontaktowy, zapis do newslettera, formularz konkursowy) powinna być zabezpieczona certyfikatem SSL. Podobnie jak system, do którego są przesyłane dane z tej strony. Dane w tym systemie powinny być zabezpieczone nie tylko hasłem, ale także w taki sposób, aby w przypadku ich (tfu, tfu) wykradzenia, odczytanie tych danych będzie wymagało dużego nakładu pracy (ponieważ dane w bazie są szyfrowane lub rozproszone).

REKLAMA

Tak samo nie powinno się tworzyć ustępstw w procedurach bezpieczeństwa. Ograniczanie uprawnień użytkownikom, aby nie mogli samodzielnie instalować oprogramowania i dokonywać zmian w systemie, to niezbędne minimum, jakie powinno się stosować. Dawanie wybranym użytkownikom wyższych uprawnień, może stanowić zagrożenie dla całej organizacji.

Zapewnienie bezpieczeństwa to nie tylko bezpieczeństwo sieci i systemów (tutaj zawsze da się coś zrobić lepiej i więcej), ale także urządzeń mobilnych, pomieszczeń i przede wszystkim, na pierwszym miejscu, edukacja ludzi. To ludzie stanowią najsłabsze i najsilniejsze ogniwo każdego systemu bezpieczeństwa. Dbanie o podnoszenie ich wiedzy i świadomości stanowi absolutne minimum w zakresie gwarantowania bezpieczeństwa danych osobowych.

W tym artykule nie podam Wam konkretnych rozwiązań – RODO też ich nie podaje. Ale chcę Wam zwrócić uwagę, że RODO wymaga od Was, żebyście przez chwilę zastanowili się, jakie są słabe strony Waszych systemów zarządzania bezpieczeństwem informacji i co możecie zrobić, aby je uszczelnić. I powinniście być w stanie wytłumaczyć się z podjętych decyzji. Polecam Wam wytyczne GIODO: Jak rozumieć podejście oparte na ryzyku według RODO?

Polecamy serwis: RODO w firmie

Powiązane
RODO: Upoważnienie do przetwarzania danych osobowych – wzór
RODO: Upoważnienie do przetwarzania danych osobowych – wzór
RODO 2018: zgoda na przetwarzanie danych osobowych i profilowanie
RODO 2018: zgoda na przetwarzanie danych osobowych i profilowanie
RODO 2018 - należyta staranność firmy
RODO 2018 - należyta staranność firmy
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Ten głos zaboli polityków. "Do 2030 roku zabraknie nam prądu, firmy uciekną za granicę"
25 kwi 2025
PIBP: Nakaz zatrudniania minimum czterech osób na podstawie umowy o pracę, w pełnym wymiarze czasu pracy jako jeden z głównych warunków do otrzymania zezwolenia na prowadzenie działalności w usługach funeralnych
28 kwi 2025

PIBP: Nakaz zatrudniania minimum czterech osób na podstawie umowy o pracę, w pełnym wymiarze czasu pracy jako jeden z głównych warunków do otrzymania zezwolenia na prowadzenie działalności w usługach funeralnych. Jak powinno wyglądać zatrudnienie w firmach z branży pogrzebowej? Co z nowelizacją Prawa Pogrzebowego?
Ponad 80 proc. specjalistów pozytywnie ocenia szkolenia z cyberbezpieczeństwa przeprowadzane w firmie
24 kwi 2025

Szybki rozwój technologii oraz zwiększone ryzyko cyberataków przyczyniają się do rosnącego zainteresowania bezpieczeństwem IT. Zdaniem szkolonych menadżerów, szkolenia z cyberbezpieczeństwa przeprowadzane w firmie: są nie tylko potrzebne, ale i skuteczne.
Dłużnicy wykorzystują brak znajomości prawa u wierzycieli i specjalnie zwlekają z zapłatą za faktury, traktując zwłokę jako formę bezpłatnego kredytu. Powinni i mogą jednak słono za to zapłacić
24 kwi 2025

Słaba znajomość podstawowych przepisów prawa finansowego u przedsiębiorców sprawia, że dłużnicy celowo przeciągają płatności, zyskując w ten sposób darmowy, nieoprocentowany kredyt. Dzieje się to w czasie, gdy zatory płatnicze w polskich przedsiębiorstwach cały czas rosną, a utrata płynności finansowej jest realnym zagrożeniem dla małych i średnich firm.

REKLAMA

Czy wspólnik mniejszościowy zawsze jest na straconej pozycji?
23 kwi 2025

Wspólnik posiadający mniejszościowy pakiet udziałów w spółce z o.o. nie musi już na starcie znajdować się na przegranej pozycji w potencjalnym sporze ze wspólnikiem większościowym. Kluczowe jest, aby taki udziałowiec znał swoje prawa w spółce oraz aktywnie i umiejętnie z nich korzystał, co w ostatecznym rozrachunku może przyczynić się do skutecznej obrony interesu wspólnika mniejszościowego i zachowania przez niego wpływu na spółkę.
Polski Akt o Dostępności – jakie zmiany czekają przedsiębiorców?
23 kwi 2025

Od 28 czerwca 2025 r. produkty i usługi wprowadzane na rynek będą musiały spełniać określone wymogi i być dostosowane również do osób z niepełnosprawnościami. To oznacza wiele zmian również dla małych i średnich przedsiębiorstw.
Polski Akt o Dostępności – jak się przygotować?
23 kwi 2025

Już pod koniec czerwca wchodzi w życie Polski Akt o Dostępności. Nowe przepisy oznaczają dla przedsiębiorców nie tylko obowiązki, ale i nowe możliwości. Kogo dotyczą te zmiany? Co czeka konsumentów, a co przedsiębiorców? Skąd można wziąć pieniądze na ich wprowadzenie?
Zaprojektuj z nami swoją pierwszą innowację – poznaj bezpłatną usługę Innovation Coach i weź udział w wydarzeniu w Łodzi
23 kwi 2025

W dobie dynamicznych zmian technologicznych i rosnącej konkurencji, przedsiębiorcy coraz częściej poszukują sposobów na wdrażanie innowacji w swoich firmach. Nie każdy jednak wie, od czego zacząć, jak zdobyć fundusze na rozwój, czy jak skutecznie przejść przez proces planowania i realizacji innowacyjnego projektu.

REKLAMA

Odroczenie terminu płatności składek ZUS. Kto i na jakich zasadach może skorzystać z odroczenia terminu płatności składek?
22 kwi 2025

Odroczenie terminu płatności składek ZUS. Kto i na jakich zasadach może skorzystać z odroczenia terminu płatności składek? W ubiegłym roku z odroczenia terminu płatności składek najczęściej korzystali mali płatnicy.
Przewodnik po spółce w Delaware – wszystko, co musisz wiedzieć zanim założysz firmę w USA
22 kwi 2025

Założenie spółki w Stanach Zjednoczonych, a w szczególności w stanie Delaware, to marzenie wielu przedsiębiorców – zarówno z Polski, jak i z całego świata. Delaware od dekad uważany jest za światowe centrum dla biznesu dzięki swojej wyjątkowej legislacji, przyjaznemu klimatowi dla przedsiębiorców oraz elastycznym strukturze prawnej. Ale czy spółka w Delaware to dobry wybór dla każdego? I co warto wiedzieć zanim złożysz wniosek o rejestrację?

REKLAMA