Fajgielski Paweł, Zapewnienie bezpieczeństwa przetwarzania danych osobowych

Procedury
Status: Aktualna
Wersja od: 25 maja 2018 r.
Autor:

Zapewnienie bezpieczeństwa przetwarzania danych osobowych

Zapewnienie bezpieczeństwa przetwarzania danych osobowych

Zapewnienie bezpieczeństwa przetwarzania danych osobowych

Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, nałożony na mocy art. 32 r.o.d.o., stanowi istotny element prawnej ochrony danych osobowych. Wymogi dotyczące wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych mają na celu zapewnienie skuteczności ochrony osób, których dane dotyczą. Prawodawca unijny, nakładając na administratorów i podmioty przetwarzające obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, nakazuje dokonanie oceny okoliczności przetwarzania oraz ryzyka, pozostawiając dużą swobodę w zakresie wyboru zabezpieczeń. Jednocześnie przepis art. 5 ust. 2 r.o.d.o. nakłada na administratorów obowiązek rozliczalności, stanowiąc, że administrator jest odpowiedzialny za przestrzeganie przepisów o ochronie danych i powinien być w stanie wykazać ich przestrzeganie. Takie podejście jest odmienne od dotychczasowego, prezentowanego w krajowych przepisach (zarówno w u.o.d.o., jak i w przepisach wykonawczych), które znacznie bardziej szczegółowo określały wymogi w zakresie zabezpieczenia danych. Przy ogólnym sformułowaniu wymogów dotyczących zabezpieczeń administratorzy i podmioty przetwarzające mogą pomocniczo sięgać do norm technicznych, które stanowią cenną pomoc w przygotowaniu do spełnienia obowiązku odpowiedniego zabezpieczenia danych. Większa swoboda w zakresie doboru środków pociąga jednak za sobą również większą odpowiedzialność. W przypadku niespełnienia wymogów określonych przepisami r.o.d.o. organ nadzorczy może nałożyć na administratora lub na podmiot przetwarzający administracyjną karę pieniężną, zgodnie z art. 83 r.o.d.o.

administrator, podmiot przetwarzający administrator, podmiot przetwarzający nadawanie upoważnień do przetwarzania danych wykazanie spełnienia obowiązku zapewnienia bezpieczeństwa danych prowadzenie rejestru czynności przetwarzania obowiązek udostępnienia informacji o spełnieniu wymogów dotyczących bezpieczeństwa danych na wniosek organu nadzorczego przetwarzanie danych osobowych ocena ryzyka związanego z przetwarzaniem danych wybór odpowiednich środków technicznych i organizacyjnych wdrożenie środków technicznych wdrożenie środków organizacyjnych

Krok: przetwarzanie danych osobowych

Istotnym obowiązkiem związanym z przetwarzaniem danych osobowych, nałożonym na mocy art. 32 unijnego rozporządzenia o ochronie danych jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych. Obowiązek ten został nałożony na administratora, którym jest podmiot decydujący o celu i sposobie przetwarzania danych (por. art. 4 pkt 7 r.o.d.o.) oraz na podmiot przetwarzający dane na zlecenie administratora (por. art. 4 pkt 8 r.o.d.o.).

Krok: ocena ryzyka związanego z przetwarzaniem danych

Prawodawca unijny nakazuje administratorowi i podmiotowi przetwarzającemu dokonanie analizy ryzyka, jakie wiąże się z przetwarzaniem danych. Przeprowadzenie tego rodzaju analizy ma pozwolić na dobór środków technicznych i organizacyjnych pozwalających na zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych.

Zgodnie z art. 32 ust. 2 r.o.d.o. przy dokonywaniu analizy należy uwzględnić ryzyko wiążące się z przetwarzaniem danych, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.