Wojciech Maciejewski
Wojciech Maciejewski

RODO w pigułce, część 2: Które przepisy wymagają technologii ochrony danych?

Wstęp

Idąc za ciosem, prezentujemy dalszy ciąg naszej serii o RODO – tym razem zagłębimy się w wymagania RODO dotyczące bezpieczeństwa danych.

Treść RODO jest obszerna, dlatego w tym tekście podsumowaliśmy pięć najważniejszych artykułów z punktu widzenia bezpieczeństwa danych:

Analiza Artykułów:

Artykuł 25 - Pseudoanonimizuj dane

Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych: Administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne, aby spełnić wymagania dotyczące ochrony danych stawiane przez RODO.

Jednym z tych środków jest pseudonimizacja (lub maskowanie danych), która rozumiana jest jako

"przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej"

Chodzi o utrudnienie powiązania danych z konkretną osobą:

Przykład: 8-cyfrowy numer identyfikacyjny pracownika, np. "DE-34-5678".

Artykuł 32 - Dostosuj odpowiednie technologie do form przetwarzania danych.

Administratorzy i podmioty przetwarzające dane muszą wdrożyć środki techniczne mając na uwadze stan wiedzy technicznej, koszty, cel, zakres, kontekst, cel przetwarzania danych, oraz:

  • ryzyko naruszenia danych podmiotów w celu pseudonimizacji i szyfrowania danych osobowych;
  • zapewnienia, że systemy przetwarzania danych są poufne, dostępne i bezpieczne;
  • umożliwienia dostępu do danych, w tym przywrócenia dostępu po incydencie;
  • przeprowadzania regularnych testów procesów i technologii ochrony danych.

Artykuł ten stanowi wytyczne dla nadawania certyfikatów zgodności z RODO. Taka certyfikacja zapewnia firmom przewagę konkurencyjną i pomoże zminimalizować ryzyko nałożenia kar finansowych.

Artykuł 33 - Naruszono ochronę danych? Poinformuj wszystkich odpowiednie organy w ciągu 72h

Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu: W przypadku naruszenia danych osobowych administrator bez zbędnej zwłoki musi powiadomić właściwy organ nadzorczy w ciągu 72 godzin od wykrycia naruszenia.

Jeżeli nie można poinformować organu nadzorczego w terminie 72 godzin, opóźnione zgłoszenie powinno zawierać wyjaśnienie przyczyn opóźnienia.

Podmiot przetwarzający dane musi jak najszybciej powiadomić administratora o naruszeniu, najlepiej zaraz po wykryciu naruszenia.

Powiadomienie musi opisywać:

  • charakter naruszenia danych,
  • rodzaj danych,
  • przybliżoną liczbę osób poszkodowanych,
  • przybliżoną ilość naruszonych rekordów danych,
  • nazwisko i dane kontaktowe specjalisty ds. ochrony danych, możliwe skutki naruszenia, oraz
  • działania mające na celu minimalizację szkód.

Informacje mogą być przekazywane stopniowo w zależności od ich dostępności.

Artykuł 34 -Naruszono ochronę danych? Poinformuj wszystkich osoby, których dane wyciekły

Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych: Podobnie jak w art. 33, art. 34 wymaga, aby administrator bez zbędnej zwłoki powiadomił osobę o naruszeniu ochrony danych, jeżeli istnieje ryzyko naruszenia jej praw i wolności.

Powiadomienie musi być zrozumiałe i zawierać musi te same informacje, które zostały przedstawione organowi nadzorczemu (zobacz wyżej). Artykuł 34 przewiduje jednak pewne wyjątki. Powiadamianie osób nie jest konieczne jeśli:

  • Dane zostały zabezpieczone poprzez np. szyfrowanie.
  • Kolejne kroki skutecznie zabezpieczyły dane osoby i ryzyko naruszenia jej praw i wolności zostało zminimalizowane
  • Wykrycie i powiadomienie dotkniętej osoby wymagałoby "niewspółmiernie dużego wysiłku". W takim przypadku administrator musi poinformować o naruszeniu w inny sposób, np. przez umieszczenie informacji w gazetach i innych mediach.

Artykuł 35 - wprowadzasz nową technologię ochrony? Przeanalizuj skutki wprowadzenia tej technologii.

Ocena skutków dla ochrony danych: Artykuł ten wymaga od administratorów przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych po wprowadzeniu nowej technologii przetwarzania danych, która może naruszać prawa i wolności osób prywatnych. Podczas dokonywania oceny skutków, administrator musi zasięgnąć wiedzy specjalisty ds. ochrony danych.

Ocena skutków dla ochrony danych powinna obejmować:

  • Dlaczego administrator chce dokonać konkretnej operacji przetwarzania danych
  • Ocenę konieczności proponowanej operacji przetwarzania
  • Ocenę zagrożeń wobec praw i wolności osobistych
  • Środki łagodzenia ryzyka, w tym środki bezpieczeństwa, które zapewnią ochronę danych osobowych

Jak Grey Wizard dba o bezpieczeństwo danych ?

Grey Wizard Shield pozwala zredukować ryzyko wycieku danych poprzez ochronę twojej infrastruktury i środowiska internetowego przed atakami hakerskimi. Grey Wizard ochrania strony i aplikacje internetowe przed wyciekami danych osobowych.

Andrzej Prałat
Wojciech Maciejewski
×

Dla mediów

Podaj nam dane kontaktowe,
na które automatycznie wyślemy materiały.

Dziękujemy