REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Prawo » RODO w firmie » Zabezpieczenie danych według RODO

Zabezpieczenie danych według RODO

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
22 marca 2018, 13:06
Sylwia Czub-Kiełczewska
Sylwia Czub-Kiełczewska
Specjalista ds. ochrony danych osobowych i informacji niejawnych
Internet, bezpieczeństwo, RODO/ Fot. Fotolia
Internet, bezpieczeństwo, RODO/ Fot. Fotolia
Fotolia

REKLAMA

REKLAMA

RODO nie narzuca na administratora konkretnych obowiązków, ale brak wdrożenia przez niego podstawowych zabezpieczeń stanowi wysokie ryzyko dla poufności przetwarzanych przez niego danych. Zapewnienie bezpieczeństwa to nie tylko bezpieczeństwo sieci i systemów, ale także urządzeń mobilnych, pomieszczeń i przede wszystkim edukacja ludzi.

Jakie wytyczne w zakresie zabezpieczenia danych daje RODO?

Art. 32 ust. 1. RODO określa zasady zapewnienia bezpieczeństwa. Punktem wyjścia jest przeprowadzenie analizy ryzyka naruszenia bezpieczeństwa danych osobowych. Administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

REKLAMA

REKLAMA

NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!

Zobacz również: RODO 2018: obowiązek informacyjny (wzór)

Unijny ustawodawca odchodzi od dotychczasowych sztywnych reguł, które ze względu na swoją „uniwersalność” mimo najlepszych intencji, dawały niski poziom gwarancji bezpieczeństwa, na rzecz elastycznych, dobieranych indywidualnie rozwiązań. O tym, czy zostały właściwie dobrane, zadecyduje ich skuteczność. Administrator danych musi być w stanie wytłumaczyć się z przyjętych zabezpieczeń i odpowie za podjęte decyzje, w sytuacji naruszenia poufności danych (dlaczego wybrał tego, a nie innego wykonawcę, dlaczego wybrał konkretne środki zaradcze). Co istotne RODO pozwala dobrać różne środki bezpieczeństwa dla różnych danych/procesów, co ma duże znaczenie dla planowania i rozkładania kosztów zabezpieczeń. Wskazuje jedynie wytyczne w zakresie prawidłowych rozwiązań:

REKLAMA

  • pseudonimizację i szyfrowanie danych osobowych
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  • Mówiąc krótko, jednym z najważniejszych zadań jest ciągłe sprawdzanie i ulepszanie przyjętych procedur. Warto podkreślić, że powinny być takie procedury, a ich brak może stanowić duży problem, przy wykazaniu, że administrator danych rzeczywiście wywiązał się skutecznie z wymagań właściwego zabezpieczenia danych.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Dalszy ciąg materiału pod wideo

Minimum dobrych praktyk to szyfrowanie danych, gdy tylko to możliwe. Jeżeli zwrócicie uwagę na liczbę stron internetowych zawierających formularze służące do wprowadzania danych osobowych, które w żaden sposób nie zabezpieczają transferu tych danych ze strony, to zrozumiecie jak daleko jesteśmy od wdrożenia minimum niezbędnych zabezpieczeń.

RODO nie narzuca na administratora konkretnych obowiązków, ale brak wdrożenia przez niego podstawowych zabezpieczeń dla danych, stanowi wysokie ryzyko dla poufności przetwarzanych przez niego danych (co więcej, jeżeli nie wdrożył procedur gwarantujących rozliczalność, to nawet nie będzie wiedział, że ktoś mu te dane wykrada).

Moim zdaniem każda strona internetowa, która zawiera formularz/okienko pozwalające wprowadzić dane (formularz kontaktowy, zapis do newslettera, formularz konkursowy) powinna być zabezpieczona certyfikatem SSL. Podobnie jak system, do którego są przesyłane dane z tej strony. Dane w tym systemie powinny być zabezpieczone nie tylko hasłem, ale także w taki sposób, aby w przypadku ich (tfu, tfu) wykradzenia, odczytanie tych danych będzie wymagało dużego nakładu pracy (ponieważ dane w bazie są szyfrowane lub rozproszone).

Tak samo nie powinno się tworzyć ustępstw w procedurach bezpieczeństwa. Ograniczanie uprawnień użytkownikom, aby nie mogli samodzielnie instalować oprogramowania i dokonywać zmian w systemie, to niezbędne minimum, jakie powinno się stosować. Dawanie wybranym użytkownikom wyższych uprawnień, może stanowić zagrożenie dla całej organizacji.

Zapewnienie bezpieczeństwa to nie tylko bezpieczeństwo sieci i systemów (tutaj zawsze da się coś zrobić lepiej i więcej), ale także urządzeń mobilnych, pomieszczeń i przede wszystkim, na pierwszym miejscu, edukacja ludzi. To ludzie stanowią najsłabsze i najsilniejsze ogniwo każdego systemu bezpieczeństwa. Dbanie o podnoszenie ich wiedzy i świadomości stanowi absolutne minimum w zakresie gwarantowania bezpieczeństwa danych osobowych.

W tym artykule nie podam Wam konkretnych rozwiązań – RODO też ich nie podaje. Ale chcę Wam zwrócić uwagę, że RODO wymaga od Was, żebyście przez chwilę zastanowili się, jakie są słabe strony Waszych systemów zarządzania bezpieczeństwem informacji i co możecie zrobić, aby je uszczelnić. I powinniście być w stanie wytłumaczyć się z podjętych decyzji. Polecam Wam wytyczne GIODO: Jak rozumieć podejście oparte na ryzyku według RODO?

Polecamy serwis: RODO w firmie

Powiązane
RODO: Upoważnienie do przetwarzania danych osobowych – wzór
RODO: Upoważnienie do przetwarzania danych osobowych – wzór
RODO 2018: zgoda na przetwarzanie danych osobowych i profilowanie
RODO 2018: zgoda na przetwarzanie danych osobowych i profilowanie
RODO 2018 - należyta staranność firmy
RODO 2018 - należyta staranność firmy
Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Technologia w firmach zmienia zapotrzebowanie na role finansowe. Kto zyska w 2026 roku?
23 sty 2026

Automatyzacja i sztuczna inteligencja przekształcają role finansowe, ograniczając potrzebę tworzenia nowych etatów, wzmacniając jednocześnie popyt na kompetencje analityczne. Oczekiwania wobec specjalistów dodatkowo podnoszą coraz bardziej złożone wymogi regulacyjne. Jak wynika z raportu „Wynagrodzenia i trendy w przedsiębiorstwach” Grafton Recruitment, w 2026 roku kluczowe będą umiejętności łączenia ekspertyzy finansowej z technologią.
Nie pytają ekspertów, tylko najczęściej googlują. Tak dziś zarządzają polskie małe firmy [BADANIE]
23 sty 2026

Internet jest głównym źródłem wiedzy pozwalającej m.in. lepiej zarządzać biznesem dla 48 proc. polskich mikro i małych firm; rzadziej korzystają one z porad księgowych oraz doświadczeń innych przedsiębiorców - wynika z czwartkowego badania Fundacji Polska Bezgotówkowa.
Wardrobing, czyli problem „wypożyczania” ubrań w e-commerce
23 sty 2026

Poniedziałek rano w sklepie internetowym. Kurier przynosi zwroty z weekendu. Otwierasz paczkę i czujesz to od razu – zapach drogich perfum, a może dymu papierosowego. Na materiale ślad pudru, a metka? Zerwana i niedbale wrzucona do pudełka. Klientka pisze: „Odstępuję od umowy, towar nie spełnia oczekiwań”. Czy jako przedsiębiorca musisz zacisnąć zęby, wyprać towar i zwrócić pieniądze? Czy musisz zwracać 100% ceny za sukienkę, która "przetańczyła" całą noc? Absolutnie nie.
Nowelizacja ustawy o cyberbezpieczeństwie odbędzie się bez dialogu z zainteresowanymi? Business Centre Club ostrzega przed ryzykami gospodarczymi procedowanej zmiany implementującej dyrektywę NIS2
22 sty 2026

Business Centre Club apeluje o staranność legislacyjną i realne konsultacje po zakończeniu prac sejmowej komisji nad nowelizacją ustawy o KSC. Zdaniem przedsiębiorców pośpiech i nadregulacja mogą osłabić konkurencyjność polskiej gospodarki. Opracowywane przepisy mają bowiem wykraczać poza potrzeby implementacyjne unijnej dyrektywy NIS2. Jeszcze nie jest za późno na zmiany.

REKLAMA

Nowa era cyfrowej księgowości: automatyzacja, RPA i inteligentne finanse
22 sty 2026

Obszar księgowości w ostatnich latach dynamicznie się zmienia. Rosnąca skala działalności przedsiębiorstw, presja regulacyjna oraz oczekiwania w zakresie szybkości i jakości raportowania finansowego powodują, że tradycyjne modele pracy działów finansowych przestają być wystarczające. Firmy poszukują narzędzi, które nie tylko automatyzują procesy, ale pozwalają całkowicie zrobotyzować powtarzalne zadania. Kluczową technologią w tym trendzie jest Robotic Process Automation (RPA), czyli robotyzacja procesów biznesowych. Dzięki niej księgowość staje się szybka, wydajna i dokładna.
Pieniądze utknęły w przelewach. Firmy finansują kontrahentów własnym kosztem
22 sty 2026

Mikro, małe i średnie przedsiębiorstwa w 2025 r. średnio na przelew czekały 13,7 dnia - wynika z danych Faktura.pl. Jednocześnie zwiększył się udział faktur z odroczonym terminem płatności i wyniósł 54,4 proc., wobec 53 proc. w 2024 r.
Reputacja lidera to twardy zasób. AI jej nie zastąpi
21 sty 2026

AI nie zastąpi stratega, ale wyeliminuje liderów, którzy nie potrafią nią zarządzać. W 2026 roku technologia to powszechny towar, a prawdziwa przewaga konkurencyjna przeniosła się w obszar zaufania. Dziś reputacja lidera to twardy zasób biznesowy, który decyduje o ROI, tempie skalowania i bezpieczeństwie firmy w sytuacjach kryzysowych.
Strategiczna pułapka polskiego rynku pracy. Firmy uzależnione od pracowników z Ukrainy
21 sty 2026

Pracownicy z Ukrainy od lat stanowią filar polskiego rynku pracy, a dla wielu firm zatrudniających cudzoziemców są podstawą stabilności operacyjnej. Wnioski płynące z raportu „Cudzoziemcy na polskim rynku pracy 2025. Jak biznes ocenia współpracę z pracownikami z zagranicy”, opracowanego przez agencję zatrudnienia Smart Solutions HR, dowodzą, że tak silna koncentracja na jednym kierunku rekrutacyjnym może stać się strategiczną pułapką i źródłem poważnego ryzyka biznesowego, przede wszystkim w obliczu zaproponowanych 20 stycznia 2026 roku zmian legislacyjnych. Odpowiedzią na narastające wyzwania staje się dywersyfikacja, otwarcie się na pracowników z innych części świata oraz zmiana sposobu zarządzania pracownikami z zagranicy.

REKLAMA

Kursy AI dla firm – realne korzyści biznesowe
20 sty 2026

Jednym z największych mitów wokół sztucznej inteligencji jest przekonanie, że jej wdrożenie wymaga ogromnych budżetów i zespołów IT. Tymczasem nie każdy manager wie, że szkolenia ze sztucznej inteligencji podlegają 100% finansowaniu z Krajowego Funduszu Szkoleniowego!
419 mln zł środków na szkolenia z KFS – szansa na darmowy rozwój kompetencji pracowników
20 sty 2026

Wraz z uruchomieniem nowej puli środków z Krajowego Funduszu Szkoleniowego (KFS) pracodawcy ponownie otrzymali realne narzędzie do podnoszenia kompetencji pracowników bez konieczności angażowania własnych środków. Z perspektywy firm oraz instytucji publicznych – szczególnie w czasach dynamicznych zmian technologicznych i organizacyjnych – jest to rozwiązanie, które warto wykorzystać możliwie szybko, ponieważ środki te są ograniczone i przyznawane do wyczerpania puli.
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA