środki bezpieczeństwa danych

4a49e54d8df68248e80c47a9b4b6a9ac907c407a-xlarge (7)

Wszystko o kluczach i innych fizycznych środkach bezpieczeństwa danych

Administrator nie może zapominać o fizycznych środkach bezpieczeństwa danych osobowych. Najczęściej stosowanymi tego typu środkami są klucze i inne narzędzia kontroli dostępu do pomieszczeń, w których są przechowywane dane osobowe. Sprawdź, jakie rozwiązania w tym zakresie warto stosować.

RODO nie podaje na tacy środków bezpieczeństwa

W rozporządzeniu unijnym nie wskazano więc żadnych obligatoryjnych środków bezpieczeństwa przetwarzanych danych osobowych takich jak np. szyfrowanie, kraty w oknach czy dostęp z wykorzystaniem loginu i hasła. W RODO znajdziemy jedynie ogólne wytyczne dotyczące stosowania środków bezpieczeństwa adekwatnych do poziomu ryzyka wiążącego się z przetwarzaniem danych osobowych. Administrator musi wdrożyć środki techniczne i organizacyjne, uwzględniając:

  • charakter, zakres, kontekst i cele przetwarzania,
  • ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (art. 24 RODO).

ADO powinien samodzielnie ocenić, czy i jakie środki należy podjąć w odniesieniu do przetwarzanych danych osobowych, znając specyfikę środowiska swojej organizacji i warunki, w jakich te dane mogą być przetwarzane.

Administrator musi przy tym być gotowy do wykazania stosowania tych środków.

4 rodzaje zabezpieczeń

Środki bezpieczeństwa dzieli się na 4 rodzaje.

Rodzaje zabezpieczeń

Przykłady

prawne

Chodzi tu o regulacje prawne obowiązujące u danego administratora (przepisy wewnętrznie obowiązujące) np.

organizacyjne

Są to rozwiązania administracyjne typu:

informatyczne

Rozumie się przez to środki elektroniczne służące zachowaniu bezpieczeństwa i integralności przetwarzanych danych np.:

  • firewall,
  • oprogramowanie antywirusowe,
  • infrastruktura sieciowa,
  • system wykrywania naruszeń.

fizyczne

Przeczytasz o nich w dalszej części artykułu.

Korzyści 

W artykule skoncentrujemy się na zabezpieczeniach fizycznych. Dowiesz się z niego m.in.:

  • jak w praktyce stosować klucze jako środki bezpieczeństwa,
  • jakie inne środki bezpieczeństwa warto ująć w dokumentacji ODO,
  • dlaczego należy zacząć od analizy ryzyka,
  • czy warto sięgać do norm ISO.
środki bezpieczeństwa

Środki bezpieczeństwa danych nie mogą być inwazyjne

Stosowanie organizacyjnych i technicznych środków bezpieczeństwa samo w sobie może wiązać się z przetwarzaniem danych osobowych np. pracowników. Z tego względu administrator musi zapewnić bezpieczeństwo danych gromadzonych w związku ze stosowaniem środków bezpieczeństwa. W artykule wyjaśniamy, jakie obowiązki w związku z tym ma administrator.

Stosowanie środków bezpieczeństwa może wiązać się z przetwarzaniem danych

RODO nie przewiduje katalogu obowiązkowych środków bezpieczeństwa. Wybór tych środków, należy do administratora. Należy tu mieć na względzie, że gromadzenie i analizowanie informacji w ramach stosowanych zabezpieczeń (organizacyjnych lub technicznych) może wiązać się z przetwarzaniem danych osobowych. Stanie się tak, jeżeli zgromadzone informacje pozwolą na identyfikację konkretnej osoby fizycznej.

Przykład: Pracodawca w ramach sieci lokalnej stosuje monitorowanie logów. Jest to innymi słowy rejestrowanie działań użytkowników tej sieci. Logi wskazują na czynności konkretnego użytkownika oraz urządzenia, na których tych czynności dokonano. Zawierają one zatem informacje o identyfikatorze użytkownika w logach, a tym samym dane osobowe.

Nie każdy środek bezpieczeństwa będzie odpowiedni do zagrożenia

Wybór środków do zabezpieczenia danych nie musi ograniczać się do najdroższych czy uważanych za najskuteczniejsze na rynku. Liczy się to, by środki te proporcjonalne do faktycznych zagrożeń. Co więcej niektóre środki bezpieczeństwa mogą wydawać się bardzo skuteczne, ale za to mogą skutkować same w sobie nadmiarowych przetwarzanie danych osobowych. Takich środków nie należy wybierać do zabezpieczania sieci lokalnej.

Przykład: Pracodawca zainstalował kamery z systemem rozpoznawania twarzy w celu ograniczenia dostępu do hali produkcyjnej. System działa w ten sposób, że kamera rozpoznaje twarz, a następnie następuje automatyczne otwarcie drzwi dla wybranego pracownika. Takie rozwiązanie jest skuteczne w zabezpieczeniu dostępu do znajdujących się na hali dokumentów i systemów informatycznych. Niemniej jednak skutkuje nadmiarowym przetwarzaniem danych osobowych i to biometrycznych, które zapisywane są w sieci lokalnej. Zastosowany środek bezpieczeństwa jest więc nieadekwatny do zagrożenia. Równie dobrze taki poziom bezpieczeństwa można zapewnić dzięki stosowaniu zwykłych kart dostępu, co będzie zdecydowanie mniej inwazyjne dla danych pracowników.

Korzyści 

Z artykułu dowiesz się m.in.:

  • jaka może być podstawa przetwarzania danych w ramach stosowania środków bezpieczeństwa,
  • dlaczego warto przeprowadzić test równowagi,
  • jakie obowiązki spełnić w związku z monitorowaniem jako środkiem bezpieczeństwa,
  • jaką dokumentację przygotować.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x