Wprowadzenie odpowiedniego poziomu bezpieczeństwa danych administrator powinien oszacować ryzyko właściwe dla przetwarzania i wdrożyć odpowiednie środki, które to ryzyko będą minimalizować. W tym celu powinny zostać uwzględnione: stan wiedzy technicznej, koszty wdrożenia oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych.
Bezpieczeństwo danych w firmie a RODO
RODO wskazuje, że zapewnienie odpowiednie bezpieczeństwo danych w firmie spoczywa na administratorze oraz na podmiocie przetwarzającym.
Bezpieczeństwo danych w firmie to nie tylko zabezpieczenia związane z przetwarzaniem danych przetwarzanych w formie elektronicznej. Prawodawca wyróżnia techniczne i organizacyjne zabezpieczenia danych osobowych. Do tych pierwszych zalicza się elementy związane z dbaniem o bezpieczeństwo danych informatycznych, np. szyfrowanie danych na dysku lub też zabezpieczenia dostępu do systemu za pomocą hasła. Do zabezpieczeń organizacyjnych zaliczyć można wszelkie rozwiązania, które zostały wprowadzone w firmie i wpływają na poziom bezpieczeństwa przetwarzania danych. Przykładem takich rozwiązań są m.in. kontrola dostępów do miejsca, w którym dane są przetwarzane poprzez wprowadzenie polityki kluczy, czy listy obecności, a także wprowadzenie polityki czystego biurka i czystego monitora.
Jak dbać o bezpieczeństwo danych w firmie
Artykuł 32 RODO wskazuje przykładowo środki, które mogą pomóc w zapewnieniu odpowiedniego stopnia bezpieczeństwa, są to:
- pseudonimizacja i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Z powyższego wynika, że administrator danych (lub podmiot przetwarzający) powinien zapewnić niezakłócony dostęp do danych osobowych osobom upoważnionym. Do obowiązków administratora należy również odpowiedzialność za takie zabezpieczenie systemów informatycznych, aby były one odporne na ataki zewnętrzne. Istotne jest także wprowadzenie takiego rozwiązania, aby w przypadku incydentu technicznego bądź fizycznego istniała możliwość przywrócenia dostępu do danych w jak najszybszym możliwym czasie.
Zapewnienie bezpieczeństwa danych nie jest czynnością jednorazową, lecz procesem ciągłym wymagającym nieustannego doskonalenia. Bezpieczeństwo danych w firmie będzie na odpowiednim poziomie, jeśli środki techniczne i organizacyjne stosowane przez administratora i podmiot przetwarzający zapewnią poufność, integralność, dostępność i odporność danych. Odpowiedni poziom bezpieczeństwa danych osobowych będzie zapewniony wtedy, gdy administrator będzie podążał za rozwojem nowych technologii, które będą generowały nowe ryzyka dla bezpieczeństwa danych osobowych.
Bezpieczeństwo danych w firmie – wskazówki
RODO daje pewne wskazówki i określa jaki efekt administrator powinien osiągnąć, nie zawiera jednak konkretnych odpowiedzi co do tego jakich środków należy użyć, aby zapewnić odpowiedni stopień bezpieczeństwa. Poniżej przedstawiamy kilka wskazówek dotyczących tego jak zadbać o bezpieczeństwo danych w firmie.
Poczta elektroniczna
Jednym z najczęstszych zagrożeń płynących z tego rodzaju komunikacji jest prawdopodobieństwo zawirusowania systemu, spowodowane otwarciem załącznika z niewiadomego źródła. Niezbędne w takich przypadkach okazuje się posiadania zaktualizowanego oprogramowania antywirusowego, który powinien znajdować się na stanowisku każdego pracownika. Pomocne mogą okazać się także zabezpieczenia techniczne na poziomie administratora, które blokują podejrzane wiadomości. Dobrą praktyką jest również zastosowanie szyfrowania załączników przesyłanych drogą mailową do podmiotów zewnętrznych, poza organizację.
Hasła
Wszyscy użytkownicy korzystający z systemów informatycznych, w których przetwarzane są dane, powinni stosować hasło spełniające odpowiednie wymogi bezpieczeństwa. Wymogi dotyczące haseł oraz poziom ich skomplikowania i częstotliwość zmiany powinny zostać zawarte we wdrożonej do organizacji procedurze. Dobrym rozwiązaniem jest również wprowadzenie technicznych ograniczeń związanych z minimalną ilością znaków, z których powinno składać się hasło, a także systemowe wymuszenia zmiany hasła.
Cykliczne szkolenia pracowników
Powiedzenie, że organizację tworzą ludzie nie jest pustym stwierdzeniem. Nawet najlepiej technicznie zabezpieczona organizacja narażona jest na incydenty bezpieczeństwa. Zapewnienie odpowiedniego poziomu bezpieczeństwa danych osobowych w firmie, wymaga, aby administrator danych osobowych lub inspektor ochrony danych (jeśli jest wyznaczony) powinien zapoznać swoich pracowników ze standardami ochrony danych jakie panują w firmie. Ważne jest też cykliczne przypominanie o stosowanych zasadach ochrony danych osobowych pracownikom, w szczególności o zagrożeniach bezpieczeństwa danych związanych z konkretnym stanowiskiem pracy, a także w zależności od przetwarzanego zakresu i kategorii danych osobowych.
Procedury i polityki
Bardzo istotnym jest określenie polityk i procedur, które zawierać będą instrukcje oraz podstawowe zasady bezpieczeństwa obowiązujące w firmie. wszystkich rozwiązań technicznych i organizacyjnych wprowadzonych przez organizację. Będzie to odzwierciedleniem zasady rozliczalności, ale przede wszystkim będzie dla pracowników wskazówką oraz określeniem ram postępowania.
Rodzaj zabezpieczenia danych, oraz wybór obszarów wymagających szczególnej uwagi ze strony administratora zależy od profilu działalności firmy, a także od kategorii i zakresu przetwarzanych danych . Brak wdrożenia przez administratora lub podmiot przetwarzający odpowiednich środków technicznych i organizacyjnych, które będą zapewniać bezpieczeństwo danych w firmie na odpowiednim poziomie, jest jednym z uchybień, które mogą stanowić podstawę do nałożenia kary administracyjnej.