LexDigital

Ochrona danych osobowych - nowe zasady RODO

Ochrona danych osobowych to temat numer jeden wśród przedsiębiorców. Od 25 maja zastosowanie będzie miało RODO. Administratorzy danych osobowych coraz częściej zastanawiają się, w jaki sposób zabezpieczać dane osobowe w swojej firmie.

Ochrona danych osobowych - nowe zasady RODO

Ochrona danych osobowych - indywidualne podejście

Unijne rozporządzenie o ochronie danych osobowych (RODO) nie mówi konkretnie, w jaki sposób należy zabezpieczyć dane osobowe. W aktualnych przepisach prawa (m.in. rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych) wymienione są ściśle określone kryteria, jakie muszą zostać spełnione, np. hasło składające się z odpowiedniej liczby znaków oraz obowiązek jego zmiany co 30 dni. RODO nie zakłada konkretnych środków bezpieczeństwa. Każdy Administrator Danych Osobowych (ADO) musi zastanowić się i podjąć decyzję o doborze środków zabezpieczających. ADO będzie musiał zdefiniować zagrożenia i ocenić ryzyko już na etapie fazy projektowania procesu przetwarzania danych.

przetwarzanie danych osobowych, RODO, anonimizacja danych


Ochrona danych osobowych w fazie projektowania oraz domyślna ochrona danych

RODO zakłada indywidualne podejście każdego przedsiębiorstwa w kwestii ochrony danych. W celu wdrożenia niezbędnych zabezpieczeń, które spełnią wymogi RODO i będą skutecznie chronić prawa osób, których dane dotyczą należy dokonać analizy własnej organizacji.

Konieczne jest uwzględnienie poziomu wiedzy na temat zabezpieczeń technicznych, zakresu i celów przetwarzania, ryzyka naruszenia praw lub wolności osób fizycznych wynikających z przetwarzania. Analiza powinna zawierać również szacunkowe koszty wdrożenia, tak aby podjęte działania były także w kwestii finansowej odpowiednie do sytuacji firmy.   Administrator danych osobowych na podstawie zebranych danych, odpowiedzialny jest za wdrożenie odpowiednich środków technicznych i organizacyjnych, zarówno przy określeniu sposobów przetwarzania, jak i w czasie samego przetwarzania.

Wdrożone przez ADO środki techniczne i organizacyjne, muszą zapewnić, że domyślnie przetwarzane będą wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby, nieokreślonej liczbie osób fizycznych.

W Artykule 32 RODO czytamy:

W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Ochrona danych osobowych - techniczne środki bezpieczeństwa

Według Generalnego Inspektora Ochrony Danych środki techniczne można podzielić na:

Środki ochrony fizycznej:

  • obszar - określenie obszaru, w którym dane osobowe są przetwarzane i dobór odpowiednich zabezpieczeń uniemożliwiających wejście do pomieszczeń nieupoważnionych osób (np. zamki w drzwiach). W przypadku popularnych openspaceów najprostszym zabezpieczeniem dla ochrony danych osobowych będzie szafka zamykana na klucz.

Środki dotyczące sprzętu infrastruktury informatycznej i telekomunikacyjnej oraz środki w ramach stosowanych programów i baz danych:

  • uwierzytelnienie - administrator danych osobowych powinien każdej osobie, która przetwarza dane osobowe nadać odpowiednie uprawnienia. Na tej podstawie użytkownik otrzymuje swój identyfikator i hasło. Zagrożeniem dla ochrony danych w przypadku tego zabezpieczenia jest niewłaściwe obchodzenie się z hasłem do komputera, np. dzielenie się hasłem ze współpracownikami na wypadek nieobecności, zapisywanie hasła w pobliżu komputera. Dobrą praktyką jest regularna zmiana haseł.
  • ochrona firewall - zapora internetowa wykorzystywana w sytuacji, kiedy system informatyczny podłączony jest z siecią publiczną. Rozporządzenie w sprawie dokumentacji przetwarzania danych definiuje następująco: „system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem”.
  • szyfrowanie danych osobowych - wszystkie pliki zawierające dane osobowe powinny być przesyłane zawsze w zaszyfrowany sposób. Dokumenty zapisywane są w określonym pliku i zabezpieczone hasłem, które do odbiorcy należy przesłać w innej formie niż przez mail (np. smsem). Ochrona danych osobowych związana jest również z używaniem wyłącznie firmowych komputerów oraz korzystanie tylko z firmowych skrzynek emaliowych. Na komputerach powinny zostać zainstalowane oprogramowania antywirusowe.
  • kopie zapasowe danych - w obecnym porządku prawnym tworzenie beckupu jest wymagane, a w czasie stosowania RODO będzie zalecane. W sytuacji, kiedy dane osobowe zostaną utracone, administrator danych osobowych będzie miał możliwość odzyskania ich z innego źródła. Beckupy robi się poprzez zgrywanie danych na wymienny dysk lub inny serwer. Ważne jest, żeby nie były przechowywane w tym samym miejscu, gdzie znajdują się dane właściwe. Po zrealizowaniu celu lub okresu przechowywania danych kopie zapasowe powinny być trwale usuwane. Wskazane jest, żeby Administrator Danych Osobowych stworzył procedurę dotyczącą tworzenia kopii zapasowych.
  • pseudonimizacja - polega na zastąpieniu jednego atrybutu w zapisie innym atrybutem. W związku z tym nadal istnieje prawdopodobieństwo pośredniego zidentyfikowania osoby fizycznej. Pseudoniminizacja jest skutecznym środkiem bezpieczeństwa, ponieważ ogranicza możliwość tworzenia powiązań zbioru danych z prawdziwą tożsamością osoby, której dane dotyczą. Najczęstszymi technikami pseudonimizacji jest szyfrowanie z kluczem tajnym (dobry klucz zapewnia bezpieczeństwo, jednak Administrator Danych Osobowych może je odszyfrować) oraz tokenizacja (często stosowana w sektorze finansowym – polega na przypisaniu wartości, które nie zostały w sposób matematyczny uzyskane z danych pierwotnych, np. dla kart).
  • anonimizacja - to środek bezpieczeństwa polegający na takim przekształceniu danych osobowych po którym nie można (w rozsądnym wymiarze czasowym) już przyporządkować poszczególnych informacji osobistych lub rzeczowych do zidentyfikowania osoby fizycznej. Proces anonimizacji musi być trwały i nieodwracalny.

Ochrona danych osobowych - Organizacyjne środki bezpieczeństwa

Zabezpieczenia organizacyjne są ściśle związane z pracownikami, którzy przetwarzają dane osobowe. Administrator danych osobowych narzuca na swój personel obowiązki wynikające z przepisów prawa oraz dobrych praktyk:

  • wiedza i świadomość pracowników - rolą pracodawcy jest zapewnić wszystkim osobom zatrudnionym przy przetwarzaniu danych, dostęp do wiedzy. W tym celu powinien zadbać o to, by każda z nich zapoznała się z przepisami, których przedmiot stanowi ochrona danych osobowych. Dodatkowo, osoby te powinny zostać przeszkolone w zakresie zabezpieczeń systemu informatycznego.
  • rejestr osób przetwarzających dane - administrator Danych Osobowych nadaje pisemne upoważnienia pracownikom dopuszczonym do przetwarzania danych osobowych i prowadzi ich ewidencję.
  • zasady funkcjonowania - pracownicy mają obowiązek zachować w tajemnicy przetwarzanie danych osobowych oraz sposobu ich zabezpieczenia. Wprowadzenie kar dyscyplinarnych za niewłaściwe przestrzeganie przepisów RODO oraz krajowych aktów prawnych dotyczących ochrony danych osobowych, może podnieść zarówno poziom stosowania się pracowników względem zasad organizacyjnych jak i aktów prawnych.
  • organizacja przestrzeni - jednym z podstawowych sposobów zabezpieczenia danych osobowych jest takie ustawienie monitorów komputerów, na których przetwarzane są dane osobowe, aby uniemożliwić osobom postronnym wgląd w nie. Dodatkowo, kopie zapasowe zbioru danych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe na bieżąco są przetwarzane.

Ochrona danych osobowych w rękach człowieka

Należy pamiętać, że w łańcuchu zabezpieczeń, to człowiek jest najsłabszym ogniwem i to właśnie jego najłatwiej i najskuteczniej zaatakować. Dlatego tak istotne jest budowanie świadomości pracowników, postępowanie zgodnie z przyjętymi zasadami, raportowanie zagrożeń i incydentów oraz regularny udział w szkoleniach z zakresu ochrony danych osobowych oraz bezpieczeństwa informacji. Administrator Danych Osobowych powinien powierzyć nadzór nad poprawnością przetwarzania danych obecnemu Administratorowi Bezpieczeństwa Informacji (ABI), który od 25 maja, kiedy zastosowanie będzie miało RODO, będzie Inspektorem Ochrony Danych (IOD).

Na rynku coraz częściej pojawiają się firmy, dla których skuteczna ochrona danych osobowych, dobór odpowiednich zabezpieczeń technicznych i organizacyjnych, usługi stałego wsparcia ze strony IOD to codzienność. Przedsiębiorcy mają zatem możliwość skorzystania z pomocy takich podmiotów zewnętrznych i mieć pewność, że dane osobowe chronione są we właściwy sposób.

Poszukujesz wsparcia w obszarach ochrony danych osobowych? Sprawdź nasze główne usługi:

Sprawdź również inne artykuły:

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk