Jak zgodnie z RODO zabezpieczać dane osobowe?

Gazeta Podatkowa

Choć RODO kojarzy się z szeregiem bardzo uciążliwych regulacji, to jego podstawowym zadaniem jest ochrona danych osobowych osób fizycznych. To dlatego unijne rozporządzenie nakłada na podmioty przetwarzające dane osobowe tak wiele obowiązków. Jednym z nich jest wdrożenie w firmie czy instytucji środków i zabezpieczeń, które te dane będą skutecznie chronić. Największym zagrożeniem są systemy informatyczne, w których są przetwarzane dane, ale to czynnik ludzki jest najbardziej zawodny. Dlatego tak ważne są regularne szkolenia personelu pracującego na danych osobowych.

Konieczne środki i zabezpieczenia

Każdy administrator danych ma obowiązek wdrożenia odpowiednich i skutecznych środków ochrony danych, a także powinien być w stanie wykazać, że czynności przetwarzania są zgodne z unijnym rozporządzeniem oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić spełnienie wymogów unijnego rozporządzenia.

Podmioty przetwarzające dane osobowe zobowiązane są przestrzegać przepisów RODO i co za tym idzie muszą być w stanie wykazać, że tych regulacji przestrzegają. Dlatego też administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.

RODO stanowi, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z jego przepisami administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

O zabezpieczeniach decyduje administrator

RODO jest aktem prawnym neutralnym technologiczne. Oznacza to, że nie wskazuje, jakie środki i zabezpieczenia powinny być stosowane przez administratorów danych. Postęp technologiczny jest coraz szybszy i przepisy nie byłyby w stanie nadążyć za zmianami. Ustawodawca unijny stworzył więc akt, który ma być aktem obowiązującym przez wiele lat.

To administrator danych podejmuje decyzję o tym, jakie środki i zabezpieczenia będą u niego w jednostce wdrożone. Taką decyzję podejmuje w oparciu o wiedzę na temat tego, jakie dane przetwarza, w jakich zbiorach i systemach, na jakie zagrożenia są narażone przetwarzane dane. Administrator danych powinien więc uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Stosowanymi zabezpieczeniami mogą być:

a) pseudonimizacja i szyfrowanie danych osobowych,

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Wspomniana pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Wśród wymienionych przykładowo środków znalazła się zdolność do zapewnienia poufności, integralności i odporności systemów i usług przetwarzania. Za bezpieczeństwo danych przetwarzanych w systemach komputerowych odpowiada administrator i podmiot przetwarzający, którzy powinni zapewnić aktualne oprogramowania oraz regularne testowanie środków bezpieczeństwa. O konieczności aktualizowania stosowanych w jednostce programów komputerowych informuje UODO na stronie www.uodo.gov.pl. Z informacji tych wynika, że: "Aktualizacje są nieodłącznym aspektem w świecie informatycznym dlatego należy zdawać sobie sprawę z tego, że regularne aktualizowanie programów antywirusowych, oprogramowania typu firewall, przeglądarek, a także innych aplikacji i całych systemów operacyjnych, z których korzystamy na co dzień, jest jednym z kluczowych warunków zapewniających bezpieczną i stabilną pracę naszego komputera".

Poza tym trzeba pamiętać o opracowaniu odpowiednich regulaminów pracy z systemami informatycznymi, sprzętem komputerowym, korzystania z poczty elektronicznej, pracy z nośnikami elektronicznymi zawierającymi dane osobowe, korzystania z internetu. Ze wszystkimi tymi regulaminami należy zapoznać pracowników i inne osoby, które przetwarzają dane osobowe.


autor: Marta Stefanowicz - Wasilewska
Gazeta Podatkowa nr 26 (1692) z dnia 2020-03-30

Zawieranie i wykonywanie umów cywilnoprawnych. Wszystko na ten temat w poradniku na GOFIN.pl

RODO