Według obowiązującej ustawy RODO o Ochronie Danych Osobowych, każdy podmiot przetwarzający dane osobowe oraz administrator danych osobowych powinien zapewnić właściwy poziom bezpieczeństwa przetwarzania danych, stosując w tym celu odpowiednie środki bezpieczeństwa w formie rozwiązań technicznych i organizacyjnych.

W praktyce każda z firm, która w jakikolwiek sposób zbiera i przetwarza dane osobowe powinna zadbać o przystosowanie się do wytycznych RODO i wdrożenie właściwych środków bezpieczeństwa, nie dopuszczając do naruszenia ich integralności, poufności i trwałości. Jakie wyróżniamy rodzaje środków bezpieczeństwa danych osobowych i dlaczego firmy muszą zadbać o ich prawidłowe wprowadzenie?

Rodzaje środków bezpieczeństwa, które mogą wprowadzić firmy w ramach ochrony danych osobowych

Art. 24 ust. 1 RODO wskazuje, że każde przedsiębiorstwo zobowiązane do wdrożenia standardów RODO powinno stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć przechowywane i przetwarzane dane osobowe. Już wcześniejsza, polska Ustawa o ochronie danych osobowych z 1997 roku mówiła o ważnej roli zapewnienia przez administratorów danych odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzanych danych. Twórcy RODO podeszli do tematu nieco bardziej ogólnie – nie podają konkretnych rozwiązań koniecznych do wdrożenia, ale wskazują na rodzaje środków bezpieczeństwa jakie warto rozważyć w celu zapewnienia ochrony danych osobowych. Wśród nich wyróżnia się:

  • Środki techniczne oraz organizacyjne

Środki te mogą mieć charakter materialny, informatyczny i organizacyjny – odnosić się do pomieszczeń, gdzie przetwarzane są dane, ale i wykorzystywanych systemów informatycznych, które należy odpowiednio zabezpieczyć oraz do wdrożonej polityki bezpieczeństwa i rozwiązań systemowych utrzymujących właściwy poziom zabezpieczenia.  Przy wyborze środków bezpieczeństwa należy uwzględnić rodzaje ryzyka związanego z przetwarzaniem, w tym stopień bezpieczeństwa danych w zakresie ryzyka naruszenia praw i wolności osób fizycznych oraz cechy przetwarzania danych: ich charakter, kontekst i cele przetwarzania.

Środki techniczne i organizacyjne mogą obejmować:

  • zabezpieczenia komputerów,
  • zastosowanie programów antywirusowych i narzędzi ochrony,
  • systemy firewall,
  • automatyczne blokady dostępu do systemów,
  • tworzenie kopii zapasowych,
  • stosowanie indywidualnych haseł logowania,
  • opracowanie konkretnych procedur bezpieczeństwa w trakcie przetwarzania danych.

Do tej ostatniej kategorii zaliczymy m.in. środki takie jak tworzenie procedur i instrukcji pracy oraz instrukcji stanowiskowych, wewnętrzną politykę bezpieczeństwa.

Szkolenie RODO

  • Środki bezpieczeństwa w ramach narzędzi programowych i baz danych

Administrator danych osobowych powinien zadbać, aby dostęp do systemów teleinformatycznych posiadali wyłącznie upoważnieni użytkownicy. Dane przesyłane drogą teleinformatyczną powinny być chronione poprzez szyfrowanie, zabezpieczane programami antywirusowymi i firewallem .

Urządzenia, na których przechowywane są dane oraz na których pracują systemy informatyczne muszą być zabezpieczone przed skutkami awarii zasilania elektrycznego i związanym z tym ryzykiem łatwiejszego dostępu do danych. Takie samo podejście powinno być zastosowane do urządzeń fizycznych, w tym dysków zawierających dane osobowe, komputerów, systemów operacyjnych itp. Niemożliwe powinno być wykonywanie nieautoryzowanych kopii zapasowych czy jakiekolwiek powielanie danych bez autoryzacji.

  • Środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej

Ochrona danych osobowych obejmuje nie tylko zabezpieczenie przed wydostaniem się ich w niepowołane ręce, ale także przed utratą danych np. w skutek uszkodzenia sprzętu. Wobec tego ważnym rodzajem środków bezpieczeństwa danych osobowych są zabezpieczenia sprzętowe, w tym zabezpieczenia hasłami, zabezpieczenia przed awariami (np. z pomocą zasilaczy awaryjnych UPS), zabezpieczenia pamięci dyskowej (poprzez kopie zapasowe, stosowanie macierzy dyskowej, trwałe usuwanie danych), i wiele innych.

  • Środki ochrony fizycznej danych

Ważnym do poruszenia aspektem w zakresie środków bezpieczeństwa danych osobowych jest ochrona fizyczna danych, przechowywanych na komputerach i sprzęcie informatycznym, ale także w formie dokumentacji.

Przestrzeń, w jakiej następuje przechowywanie i przetwarzanie danych powinna być tak przygotowana, aby w razie jakichkolwiek awarii, zdarzeń losowych, zagrożenia, włamania czy problemów personelu nie doszło do wycieku, uszkodzenia lub zniszczenia danych.

Dlaczego środki bezpieczeństwa danych osobowych są tak ważne?

Wdrożenie właściwych zabezpieczeń na każdym poziomie ochrony danych osobowych jest niezwykle istotne w kontekście spełnienia obowiązujących wymagań RODO. Warto, jako firma, wykorzystać oferty jednostek akredytowanych i zdecydować się na szkolenie RODO, które nie tylko rozjaśni zagadnienia związane z wdrażaniem i stosowaniem się do wymagań normy, ale też usystematyzuje wiedzę o ochronie danych osobowych dla kierownictwa, Inspektorów Danych Osobowych oraz pojedynczych pracowników biorących udział w procesie zbierania i przetwarzania danych osobowych.