LexDigital

Ochrona danych osobowych - nowe zasady RODO

Ochrona danych osobowych to temat numer jeden wśród przedsiębiorców. Od 25 maja zastosowanie będzie miało RODO. Administratorzy danych osobowych coraz częściej zastanawiają się, w jaki sposób zabezpieczać dane osobowe w swojej firmie.

Ochrona danych osobowych - nowe zasady RODO

Ochrona danych osobowych - indywidualne podejście

Unijne rozporządzenie o ochronie danych osobowych (RODO) nie mówi konkretnie, w jaki sposób należy zabezpieczyć dane osobowe. W aktualnych przepisach prawa (m.in. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) wymienione są ściśle określone kryteria, jakie muszą zostać spełnione, np. hasło składające się z odpowiedniej liczby znaków oraz obowiązek jego zmiany co 30 dni. RODO nie zakłada konkretnych środków bezpieczeństwa. Każdy Administrator Danych Osobowych (ADO) musi zastanowić się i podjąć decyzję o doborze środków zabezpieczających. ADO będzie musiał zdefiniować zagrożenia już na etapie fazy projektowania procesu przetwarzania danych.

Ochrona danych osobowych w fazie projektowania oraz domyślna ochrona danych

RODO zakłada indywidualne podejście każdego przedsiębiorstwa w kwestii ochrony danych. W celu wdrożenia niezbędnych zabezpieczeń, które spełnią wymogi RODO i będą skutecznie chronić prawa osób, których dane dotyczą należy dokonać analizy własnej organizacji.

Konieczne jest uwzględnienie poziomu wiedzy na temat zabezpieczeń technicznych, zakresu i celów przetwarzania, ryzyka naruszenia praw lub wolności osób fizycznych wynikających z przetwarzania. Analiza powinna zawierać również szacunkowe koszty wdrożenia, tak aby podjęte działania były także w kwestii finansowej odpowiednie do sytuacji firmy.   Administrator danych osobowych na podstawie zebranych danych, odpowiedzialny jest za wdrożenie odpowiednich środków technicznych i organizacyjnych, zarówno przy określeniu sposobów przetwarzania, jak i w czasie samego przetwarzania.

Wdrożone przez ADO środki techniczne i organizacyjne, muszą zapewnić, że domyślnie przetwarzane będą wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby, nieokreślonej liczbie osób fizycznych.

Ochrona danych osobowych - techniczne środki bezpieczeństwa

Według Generalnego Inspektora Ochrony Danych środki techniczne można podzielić na:

Środki ochrony fizycznej:

  • obszar - określenie obszaru, w którym dane osobowe są przetwarzane i dobór odpowiednich zabezpieczeń uniemożliwiających wejście do pomieszczeń nieupoważnionych osób (np. zamki w drzwiach). W przypadku popularnych openspaceów najprostszym zabezpieczeniem dla ochrony danych osobowych będzie szafka zamykana na klucz.

Środki dotyczące sprzętu infrastruktury informatycznej i telekomunikacyjnej oraz środki w ramach stosowanych programów i baz danych:

  • uwierzytelnienie - administrator danych osobowych powinien każdej osobie, która przetwarza dane osobowe nadać odpowiednie uprawnienia. Na tej podstawie użytkownik otrzymuje swój identyfikator i hasło. Zagrożeniem dla ochrony danych w przypadku tego zabezpieczenia jest niewłaściwe obchodzenie się z hasłem do komputera, np. dzielenie się hasłem ze współpracownikami na wypadek nieobecności, zapisywanie hasła w pobliżu komputera. Dobrą praktyką jest regularna zmiana haseł.
  • ochrona firewall - zapora internetowa wykorzystywana w sytuacji, kiedy system informatyczny podłączony jest z siecią publiczną. Rozporządzenie w sprawie dokumentacji przetwarzania danych definiuje następująco: „system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem”.
  • szyfrowanie danych osobowych - wszystkie pliki zawierające dane osobowe powinny być przesyłane zawsze w zaszyfrowany sposób. Dokumenty zapisywane są w określonym pliku i zabezpieczone hasłem, które do odbiorcy należy przesłać w innej formie niż przez mail (np. smsem). Ochrona danych osobowych związana jest również z używaniem wyłącznie firmowych komputerów oraz korzystanie tylko z firmowych skrzynek emaliowych. Na komputerach powinny zostać zainstalowane oprogramowania antywirusowe.
  • kopie zapasowe danych - w obecnym porządku prawnym tworzenie beckupu jest wymagane, a w czasie stosowania RODO będzie zalecane. W sytuacji, kiedy dane osobowe zostaną utracone, administrator danych osobowych będzie miał możliwość odzyskania ich z innego źródła. Beckupy robi się poprzez zgrywanie danych na wymienny dysk lub inny serwer. Ważne jest, żeby nie były przechowywane w tym samym miejscu, gdzie znajdują się dane właściwe. Po zrealizowaniu celu lub okresu przechowywania danych kopie zapasowe powinny być trwale usuwane. Wskazane jest, żeby Administrator Danych Osobowych stworzył procedurę dotyczącą tworzenia kopii zapasowych.
  • pseudonimizacja - polega na zastąpieniu jednego atrybutu w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Pseudoniminizacja jest skutecznym środkiem bezpieczeństwa, ponieważ ogranicza możliwość tworzenia powiązań zbioru danych z prawdziwą tożsamością osoby, której dane dotyczą. Najczęstszymi technikami pseudonimizacji jest szyfrowanie z kluczem tajnym (dobry klucz zapewnia bezpieczeństwo, jednak Administrator Danych Osobowych może je odszyfrować) oraz tokenizacja (często stosowana w sektorze finansowym – polega na przypisaniu wartości, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych, np. dla kart).
  • anonimizacja - to środek bezpieczeństwa polegający na takim przekształceniu danych osobowych po którym nie można (w rozsądnym wymiarze czasowym) już przyporządkować poszczególnych informacji osobistych lub rzeczowych do zidentyfikowania osoby fizycznej. Proces anonimizacji musi być trwały i nieodwracalny.

Ochrona danych osobowych - Organizacyjne środki bezpieczeństwa

Zabezpieczenia organizacyjne są ściśle związane z pracownikami, którzy przetwarzają dane osobowe. Administrator danych osobowych narzuca na swój personel obowiązki wynikające z przepisów prawa oraz dobrych praktyk:

  • wiedza i świadomość pracowników - rolą pracodawcy jest zapewnić wszystkim osobom zatrudnionym przy przetwarzaniu danych, dostęp do wiedzy. W tym celu powinien zadbać o to, by każda z nich zapoznała się z przepisami, których przedmiot stanowi ochrona danych osobowych. Dodatkowo, osoby te powinny zostać przeszkolone w zakresie zabezpieczeń systemu informatycznego.
  • rejestr osób przetwarzających dane - administrator Danych Osobowych nadaje pisemne upoważnienia pracownikom dopuszczonym do przetwarzania danych osobowych i prowadzi ich ewidencję.
  • zasady funkcjonowania - pracownicy mają obowiązek zachować w tajemnicy przetwarzanie danych osobowych oraz sposobu ich zabezpieczenia. Wprowadzenie kar dyscyplinarnych za niewłaściwe przestrzeganie przepisów RODO oraz krajowych aktów prawnych dotyczących ochrony danych osobowych, może podnieść zarówno poziom stosowania się pracowników względem zasad organizacyjnych jak i aktów prawnych.
  • organizacja przestrzeni - jednym z podstawowych sposobów zabezpieczenia danych osobowych jest takie ustawienie monitorów komputerów, na których przetwarzane są dane osobowe, aby uniemożliwić osobom postronnym wgląd w nie. Dodatkowo, kopie zapasowe zbioru danych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe na bieżąco są przetwarzane.

Ochrona danych osobowych w rękach człowieka

Należy pamiętać, że w łańcuchu zabezpieczeń, to człowiek jest najsłabszym ogniwem i to właśnie jego najłatwiej i najskuteczniej zaatakować. Dlatego tak istotne jest budowanie świadomości pracowników, postępowanie zgodnie z przyjętymi zasadami, raportowanie zagrożeń i incydentów oraz regularny udział w szkoleniach z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji. Administrator Danych Osobowych powinien powierzyć nadzór nad poprawnością przetwarzania danych obecnemu Administratorowi Bezpieczeństwa Informacji (ABI), który od 25 maja, kiedy zastosowanie będzie miało RODO, będzie Inspektorem Ochrony Danych (IOD).

Na rynku coraz częściej pojawiają się firmy, dla których skuteczna ochrona danych osobowych, dobór odpowiednich zabezpieczeń technicznych i organizacyjnych, usługi stałego wsparcia ze strony IOD to codzienność. Przedsiębiorcy mają zatem możliwość skorzystania z pomocy takich podmiotów zewnętrznych i mieć pewność, że dane osobowe chronione są we właściwy sposób.


Sprawdź również:

Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.