Stosowanie organizacyjnych i technicznych środków bezpieczeństwa samo w sobie może wiązać się z przetwarzaniem danych osobowych np. pracowników. Z tego względu administrator musi zapewnić bezpieczeństwo danych gromadzonych w związku ze stosowaniem środków bezpieczeństwa. W artykule wyjaśniamy, jakie obowiązki w związku z tym ma administrator.
Stosowanie środków bezpieczeństwa może wiązać się z przetwarzaniem danych
RODO nie przewiduje katalogu obowiązkowych środków bezpieczeństwa. Wybór tych środków, należy do administratora. Należy tu mieć na względzie, że gromadzenie i analizowanie informacji w ramach stosowanych zabezpieczeń (organizacyjnych lub technicznych) może wiązać się z przetwarzaniem danych osobowych. Stanie się tak, jeżeli zgromadzone informacje pozwolą na identyfikację konkretnej osoby fizycznej.
Przykład: Pracodawca w ramach sieci lokalnej stosuje monitorowanie logów. Jest to innymi słowy rejestrowanie działań użytkowników tej sieci. Logi wskazują na czynności konkretnego użytkownika oraz urządzenia, na których tych czynności dokonano. Zawierają one zatem informacje o identyfikatorze użytkownika w logach, a tym samym dane osobowe.
Nie każdy środek bezpieczeństwa będzie odpowiedni do zagrożenia
Wybór środków do zabezpieczenia danych nie musi ograniczać się do najdroższych czy uważanych za najskuteczniejsze na rynku. Liczy się to, by środki te proporcjonalne do faktycznych zagrożeń. Co więcej niektóre środki bezpieczeństwa mogą wydawać się bardzo skuteczne, ale za to mogą skutkować same w sobie nadmiarowych przetwarzanie danych osobowych. Takich środków nie należy wybierać do zabezpieczania sieci lokalnej.
Przykład: Pracodawca zainstalował kamery z systemem rozpoznawania twarzy w celu ograniczenia dostępu do hali produkcyjnej. System działa w ten sposób, że kamera rozpoznaje twarz, a następnie następuje automatyczne otwarcie drzwi dla wybranego pracownika. Takie rozwiązanie jest skuteczne w zabezpieczeniu dostępu do znajdujących się na hali dokumentów i systemów informatycznych. Niemniej jednak skutkuje nadmiarowym przetwarzaniem danych osobowych i to biometrycznych, które zapisywane są w sieci lokalnej. Zastosowany środek bezpieczeństwa jest więc nieadekwatny do zagrożenia. Równie dobrze taki poziom bezpieczeństwa można zapewnić dzięki stosowaniu zwykłych kart dostępu, co będzie zdecydowanie mniej inwazyjne dla danych pracowników.