Zabezpieczanie i dokumentacja ochrony danych osobowych
RODO odchodzi od podawania konkretnych środków zabezpieczenia danych osobowych. Wprowadza w zamian podejście oparte na ryzyku, wynikającym z ich przetwarzania.
Od administratora danych wymagane jest zapewnienie stosownego stopnia bezpieczeństwa danych, odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych. Przykładowe środki zabezpieczające dane to przede wszystkim :
• pseudonimizacja i szyfrowanie danych osobowych;
• zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
• zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
• regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.
Dokonując oceny bezpieczeństwa danych, z uwzględnieniem ryzykownych czynników związanych z ich przetwarzaniem, należy wziąć pod uwagę w szczególności ryzyko wynikające z:
• przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji danych;
• nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Dotychczasowa ustawa zobowiązywała administratorów danych osobowych do przygotowania i wdrożenia odpowiedniej dokumentacji, w której skład wchodzić miały:
• polityka bezpieczeństwa danych osobowych;
• instrukcja zarządzanie systemem informatycznym, w którym przetwarzane są dane osobowe.
RODO nie wprowadza takiego obowiązku, ponieważ wynikające z niego założenia ochrony danych oparte są na pojęciu ryzyka. Rozporządzenie odwołuje się jednak do pewnej „polityki ochrony danych”, którą administrator powinien stosować, stąd zaleca się dalsze stosowanie tej dokumentacji, kiedy zostanie ona dostosowana do przepisów RODO.