LexDigital

Ochrona danych osobowych - nowe zasady RODO

Ochrona danych osobowych to temat numer jeden wśród przedsiębiorców. Od 25 maja zastosowanie będzie miało RODO. Administratorzy danych osobowych coraz częściej zastanawiają się, w jaki sposób zabezpieczać dane osobowe w swojej firmie.

Ochrona danych osobowych - nowe zasady RODO

Ochrona danych osobowych - indywidualne podejście

Unijne rozporządzenie o ochronie danych osobowych (RODO) nie mówi konkretnie, w jaki sposób należy zabezpieczyć dane osobowe. W aktualnych przepisach prawa (m.in. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) wymienione są ściśle określone kryteria, jakie muszą zostać spełnione, np. hasło składające się z odpowiedniej liczby znaków oraz obowiązek jego zmiany co 30 dni. RODO nie zakłada konkretnych środków bezpieczeństwa. Każdy Administrator Danych Osobowych (ADO) musi zastanowić się i podjąć decyzję o doborze środków zabezpieczających. ADO będzie musiał zdefiniować zagrożenia już na etapie fazy projektowania procesu przetwarzania danych.

Ochrona danych osobowych w fazie projektowania oraz domyślna ochrona danych

RODO zakłada indywidualne podejście każdego przedsiębiorstwa w kwestii ochrony danych. W celu wdrożenia niezbędnych zabezpieczeń, które spełnią wymogi RODO i będą skutecznie chronić prawa osób, których dane dotyczą należy dokonać analizy własnej organizacji.

Konieczne jest uwzględnienie poziomu wiedzy na temat zabezpieczeń technicznych, zakresu i celów przetwarzania, ryzyka naruszenia praw lub wolności osób fizycznych wynikających z przetwarzania. Analiza powinna zawierać również szacunkowe koszty wdrożenia, tak aby podjęte działania były także w kwestii finansowej odpowiednie do sytuacji firmy.   Administrator danych osobowych na podstawie zebranych danych, odpowiedzialny jest za wdrożenie odpowiednich środków technicznych i organizacyjnych, zarówno przy określeniu sposobów przetwarzania, jak i w czasie samego przetwarzania.

Wdrożone przez ADO środki techniczne i organizacyjne, muszą zapewnić, że domyślnie przetwarzane będą wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby, nieokreślonej liczbie osób fizycznych.

Ochrona danych osobowych - techniczne środki bezpieczeństwa

Według Generalnego Inspektora Ochrony Danych środki techniczne można podzielić na:

Środki ochrony fizycznej:

  • obszar - określenie obszaru, w którym dane osobowe są przetwarzane i dobór odpowiednich zabezpieczeń uniemożliwiających wejście do pomieszczeń nieupoważnionych osób (np. zamki w drzwiach). W przypadku popularnych openspaceów najprostszym zabezpieczeniem dla ochrony danych osobowych będzie szafka zamykana na klucz.

Środki dotyczące sprzętu infrastruktury informatycznej i telekomunikacyjnej oraz środki w ramach stosowanych programów i baz danych:

  • uwierzytelnienie - administrator danych osobowych powinien każdej osobie, która przetwarza dane osobowe nadać odpowiednie uprawnienia. Na tej podstawie użytkownik otrzymuje swój identyfikator i hasło. Zagrożeniem dla ochrony danych w przypadku tego zabezpieczenia jest niewłaściwe obchodzenie się z hasłem do komputera, np. dzielenie się hasłem ze współpracownikami na wypadek nieobecności, zapisywanie hasła w pobliżu komputera. Dobrą praktyką jest regularna zmiana haseł.
  • ochrona firewall - zapora internetowa wykorzystywana w sytuacji, kiedy system informatyczny podłączony jest z siecią publiczną. Rozporządzenie w sprawie dokumentacji przetwarzania danych definiuje następująco: „system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem”.
  • szyfrowanie danych osobowych - wszystkie pliki zawierające dane osobowe powinny być przesyłane zawsze w zaszyfrowany sposób. Dokumenty zapisywane są w określonym pliku i zabezpieczone hasłem, które do odbiorcy należy przesłać w innej formie niż przez mail (np. smsem). Ochrona danych osobowych związana jest również z używaniem wyłącznie firmowych komputerów oraz korzystanie tylko z firmowych skrzynek emaliowych. Na komputerach powinny zostać zainstalowane oprogramowania antywirusowe.
  • kopie zapasowe danych - w obecnym porządku prawnym tworzenie beckupu jest wymagane, a w czasie stosowania RODO będzie zalecane. W sytuacji, kiedy dane osobowe zostaną utracone, administrator danych osobowych będzie miał możliwość odzyskania ich z innego źródła. Beckupy robi się poprzez zgrywanie danych na wymienny dysk lub inny serwer. Ważne jest, żeby nie były przechowywane w tym samym miejscu, gdzie znajdują się dane właściwe. Po zrealizowaniu celu lub okresu przechowywania danych kopie zapasowe powinny być trwale usuwane. Wskazane jest, żeby Administrator Danych Osobowych stworzył procedurę dotyczącą tworzenia kopii zapasowych.
  • pseudonimizacja - polega na zastąpieniu jednego atrybutu w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Pseudoniminizacja jest skutecznym środkiem bezpieczeństwa, ponieważ ogranicza możliwość tworzenia powiązań zbioru danych z prawdziwą tożsamością osoby, której dane dotyczą. Najczęstszymi technikami pseudonimizacji jest szyfrowanie z kluczem tajnym (dobry klucz zapewnia bezpieczeństwo, jednak Administrator Danych Osobowych może je odszyfrować) oraz tokenizacja (często stosowana w sektorze finansowym – polega na przypisaniu wartości, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych, np. dla kart).
  • anonimizacja - to środek bezpieczeństwa polegający na takim przekształceniu danych osobowych po którym nie można (w rozsądnym wymiarze czasowym) już przyporządkować poszczególnych informacji osobistych lub rzeczowych do zidentyfikowania osoby fizycznej. Proces anonimizacji musi być trwały i nieodwracalny.

Ochrona danych osobowych - Organizacyjne środki bezpieczeństwa

Zabezpieczenia organizacyjne są ściśle związane z pracownikami, którzy przetwarzają dane osobowe. Administrator danych osobowych narzuca na swój personel obowiązki wynikające z przepisów prawa oraz dobrych praktyk:

  • wiedza i świadomość pracowników - rolą pracodawcy jest zapewnić wszystkim osobom zatrudnionym przy przetwarzaniu danych, dostęp do wiedzy. W tym celu powinien zadbać o to, by każda z nich zapoznała się z przepisami, których przedmiot stanowi ochrona danych osobowych. Dodatkowo, osoby te powinny zostać przeszkolone w zakresie zabezpieczeń systemu informatycznego.
  • rejestr osób przetwarzających dane - administrator Danych Osobowych nadaje pisemne upoważnienia pracownikom dopuszczonym do przetwarzania danych osobowych i prowadzi ich ewidencję.
  • zasady funkcjonowania - pracownicy mają obowiązek zachować w tajemnicy przetwarzanie danych osobowych oraz sposobu ich zabezpieczenia. Wprowadzenie kar dyscyplinarnych za niewłaściwe przestrzeganie przepisów RODO oraz krajowych aktów prawnych dotyczących ochrony danych osobowych, może podnieść zarówno poziom stosowania się pracowników względem zasad organizacyjnych jak i aktów prawnych.
  • organizacja przestrzeni - jednym z podstawowych sposobów zabezpieczenia danych osobowych jest takie ustawienie monitorów komputerów, na których przetwarzane są dane osobowe, aby uniemożliwić osobom postronnym wgląd w nie. Dodatkowo, kopie zapasowe zbioru danych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe na bieżąco są przetwarzane.

Ochrona danych osobowych w rękach człowieka

Należy pamiętać, że w łańcuchu zabezpieczeń, to człowiek jest najsłabszym ogniwem i to właśnie jego najłatwiej i najskuteczniej zaatakować. Dlatego tak istotne jest budowanie świadomości pracowników, postępowanie zgodnie z przyjętymi zasadami, raportowanie zagrożeń i incydentów oraz regularny udział w szkoleniach z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji. Administrator Danych Osobowych powinien powierzyć nadzór nad poprawnością przetwarzania danych obecnemu Administratorowi Bezpieczeństwa Informacji (ABI), który od 25 maja, kiedy zastosowanie będzie miało RODO, będzie Inspektorem Ochrony Danych (IOD).

Na rynku coraz częściej pojawiają się firmy, dla których skuteczna ochrona danych osobowych, dobór odpowiednich zabezpieczeń technicznych i organizacyjnych, usługi stałego wsparcia ze strony IOD to codzienność. Przedsiębiorcy mają zatem możliwość skorzystania z pomocy takich podmiotów zewnętrznych i mieć pewność, że dane osobowe chronione są we właściwy sposób.


Sprawdź również:

Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.