INFORLEX Administracja
Jak przygotować się do zmian 2020 Podatki. Rachunkowość. Prawo pracy. ZUS
PODATKI 2020 - pakiet STANDARDJakie wytyczne w zakresie zabezpieczenia danych daje RODO?
Art. 32 ust. 1. RODO określa zasady zapewnienia bezpieczeństwa. Punktem wyjścia jest przeprowadzenie analizy ryzyka naruszenia bezpieczeństwa danych osobowych. Administrator danych, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
NOWOŚĆ na Infor.pl: Prenumerata elektroniczna Dziennika Gazety Prawnej KUP TERAZ!
reklama
reklama
Zobacz również: RODO 2018: obowiązek informacyjny (wzór)
Unijny ustawodawca odchodzi od dotychczasowych sztywnych reguł, które ze względu na swoją „uniwersalność” mimo najlepszych intencji, dawały niski poziom gwarancji bezpieczeństwa, na rzecz elastycznych, dobieranych indywidualnie rozwiązań. O tym, czy zostały właściwie dobrane, zadecyduje ich skuteczność. Administrator danych musi być w stanie wytłumaczyć się z przyjętych zabezpieczeń i odpowie za podjęte decyzje, w sytuacji naruszenia poufności danych (dlaczego wybrał tego, a nie innego wykonawcę, dlaczego wybrał konkretne środki zaradcze). Co istotne RODO pozwala dobrać różne środki bezpieczeństwa dla różnych danych/procesów, co ma duże znaczenie dla planowania i rozkładania kosztów zabezpieczeń. Wskazuje jedynie wytyczne w zakresie prawidłowych rozwiązań:
- pseudonimizację i szyfrowanie danych osobowych
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
- Mówiąc krótko, jednym z najważniejszych zadań jest ciągłe sprawdzanie i ulepszanie przyjętych procedur. Warto podkreślić, że powinny być takie procedury, a ich brak może stanowić duży problem, przy wykazaniu, że administrator danych rzeczywiście wywiązał się skutecznie z wymagań właściwego zabezpieczenia danych.
Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach
Minimum dobrych praktyk to szyfrowanie danych, gdy tylko to możliwe. Jeżeli zwrócicie uwagę na liczbę stron internetowych zawierających formularze służące do wprowadzania danych osobowych, które w żaden sposób nie zabezpieczają transferu tych danych ze strony, to zrozumiecie jak daleko jesteśmy od wdrożenia minimum niezbędnych zabezpieczeń.
