Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej Rozporządzenie RODO w art. 32 reguluje kwestie w zakresie bezpieczeństwa przetwarzania danych osobowych.
Art. 32 ust. 1 – Obowiązki Administratora danych
Jednym z podstawowych obowiązków Administratora danych osobowych oraz podmiotu przetwarzającego jest zapewnienie bezpieczeństwa danych. Zasada ta wynika także z art. 5 ust. 1 lit. f – „Dane osobowe muszą być: (…) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).”
Zapewnienie bezpieczeństwa danych (osobowych) odbywa się poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających odpowiedni poziom bezpieczeństwa.
Jakie przyjąć kryteria wyboru odpowiednich środków technicznych?
- stan wiedzy technicznej,
- koszt wdrażania
- charakter, zakres, kontekst i cele przetwarzania
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia
Przykładowe środki techniczne i organizacyjne – art. 32 ust. 1 Rozporządzenia RODO
- pseudonimizacja i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Definicja pseudonimizacji – art. 4 ust. 5 Rozporządzenia RODO
„pseudonimizacja” oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
Bezpieczeństwo przetwarzania a normy ISO
Szczególne znaczenie w zakresie zapewnienia bezpieczeństwa przetwarzania danych osobowych mają międzynarodowe normy techniczne. W zakresie ochronnych danych osobowych, ale także bezpieczeństwa informacji firmy możemy posiłkować się m.in. normami z serii ISO 2700 – zarządzanie systemem bezpieczeństwa informacji oraz z serii 31000 – odnoszące się do zarządzania ryzykiem.
Należy pamiętać, iż zapewniając bezpieczeństwo przetwarzania danych osobowych, robimy pierwszy krok w kierunku zarządzania bezpieczeństwem informacji / danych w firmie.
Art. 32 ust. 2 – Jak rozumieć i stosować podejście oparte na ryzyku?
Zgodnie z treścią art. 32 ust. 2 „Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.”
Rozporządzenie RODO nie wskazuje metody, z jakiej mógłby skorzystać administratora danych osobowych jak i podmiot przetwarzający, aby ocenić ryzyko przetwarzania danych osobowych.
Dla ułatwienia realizacji niniejszego obowiązku administratora danych osobowych, Prezes Urzędu Ochrony Danych Osobowych (dawniej GIODO) przegotował dwa poradniki:
Część 1: „Jak rozumieć podejście oparte na ryzyku według RODO?”
Część 2: „Jak stosować podejście oparte na ryzyku?”
Link do poradników – tutaj
Art. 32 ust. 3 – Kodeksy postępowania, certyfikacja
Zgodnie z treścią art. 32 ust. 3 Rozporządzenia RODO Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42
Art. 32 ust. 4 – upoważnienie do przetwarzania danych osobowych
„Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.”
Niniejszy przepisy koresponduje z art. 29 Rozporządzanie RODO regulującym kwestię przetwarzania z upoważnienia administratora lub podmiotu przetwarzającego
Jak przygotować upoważnienie do przetwarzania danych osobowych ? więcej przeczytasz tutaj
Podsumowanie:
W celu zapewnienia bezpieczeństwa przetwarzania danych osobowych wykonaj następujące czynności:
- Oceń ryzyko naruszenia przetwarzania danych osobowych
- Opracuj wewnętrzne polityki, instrukcje
- Wdróż odpowiednie środki techniczne i organizacyjne
- Upoważnij pracowników
- Zorganizuj szkolenie dla pracowników