Kamil Kozioł: Bezpieczeństwo do przeglądu

Przepisy europejskiego ogólnego rozporządzenia o ochronie danych (RODO) wymagają, aby administratorzy danych poddawali środki techniczne i organizacyjne wdrożone w ramach systemu ochrony danych regularnym testom, pomiarom i ocenom skuteczności. Niestety, wśród przedsiębiorców istnieje duża pokusa, aby wdrożenie RODO potraktować jako projekt jednorazowy.

Środki bezpieczeństwa

Zgodnie z art. 32 RODO, każdy administrator danych osobowych oraz podmiot przetwarzający ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający zidentyfikowanym ryzykom. Przy podejmowaniu decyzji o rodzaju tych środków powinien on uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

Czytaj więcej:

Administracja

Dostęp do swoich danych nie jest prawem absolutnym

Pro

Dzięki takiemu ujęciu obowiązków administratorów danych każdy przedsiębiorca może samodzielnie określić, jakie środki techniczne i organizacyjne będą odpowiednie do zastosowania w jego organizacji, biorąc pod uwagę wszystkie wymienione czynniki. Oczywiście, środki takie mogą podlegać kontroli prezesa Urzędu Ochrony Danych Osobowych, który może z oceną przedsiębiorcy się nie zgodzić. Niemniej, przepisy RODO wprost wskazują, że nie ma jednego, idealnego zestawu środków technicznych i organizacyjnych, które sprawdzą się w każdej organizacji. Inny zestaw środków konieczny będzie w przychodni lekarskiej czy firmie produkcyjnej, a jeszcze inny w sklepie internetowym oferującym płatność ratalną.

Jednocześnie art. 32 RODO wymienia przykładowe środki techniczne i organizacyjne, które wydają się obowiązkiem każdego przedsiębiorcy. W szczególności mowa tu o art. 32 ust. 1 lit. d) RODO. Ten wskazuje, że administrator i podmiot przetwarzający powinni zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania danych osobowych.

Przepis, o którym mowa, ustanawia obowiązek regularnego, zaplanowanego testowania zastosowanych w firmie środków bezpieczeństwa, w tym zabezpieczeń systemów informatycznych. Jest on także wyraźną wskazówką dla przedsiębiorców, że nie można „jednorazowo wdrożyć RODO" i zapomnieć o jego istnieniu – konieczne jest nie tylko uwzględnienie ochrony danych osobowych przy projektowaniu nowych procesów przetwarzania, ale także sprawdzanie tych zabezpieczeń (środków technicznych i organizacyjnych), które już zostały w organizacji wdrożone.

Ważna jest regularność

W kontekście tego przepisu konieczne jest zwrócenie uwagi na „regularność" dokonywania takiego przeglądu środków bezpieczeństwa. W jednej ze swoich decyzji prezes UODO wprost wskazał, że dokonywanie incydentalnego przeglądu stosowanych środków jest niewystarczające i nie spełnia norm wskazanych w powołanym przepisie.

Dlatego z perspektywy przedsiębiorcy konieczne będzie zaplanowanie regularnego przeglądu stosowanych środków oraz dokonanie pomiaru lub oceny ich skuteczności, których częstotliwość dopasowana jest do charakteru, kontekstu, celów przetwarzania i zidentyfikowanego ryzyka przetwarzania. Trudno o wskazanie częstotliwości takich przeglądów, jednak za pewne minimum uznaje się przeprowadzanie sprawdzeń raz w roku. W podmiotach, które przetwarzają większą ilość danych lub wykorzystują specyficzne, nowoczesne technologie, takie sprawdzenia powinny odbywać się częściej.

Jako dobrą praktykę można wskazać także dokonywanie przeglądu stosowanych środków bezpieczeństwa po każdym zarejestrowanym incydencie. W takiej sytuacji przegląd może być ograniczony do środków powiązanych z konkretnym incydentem. Przykładowo, gdy polegał on na zaszyfrowaniu danych administratora za pomocą ransomware, konieczne będzie dokonanie przeglądu zabezpieczeń informatycznych.

Jednocześnie należy podkreślić, że monitorowanie podatności systemów informatycznych wykorzystywanych do przetwarzania danych osobowych, a zwłaszcza ich przetwarzania w chmurze, powinno odbywać się na bieżąco. Do takich celów stworzono rozwiązania, które pozwalają na weryfikację, czy – w świetle dostępnych informacji – system jest odporny na poszczególne podatności.

Rozliczalność też jest istotna

Bardzo ważnym aspektem z punktu widzenia RODO jest również zapewnienie rozliczalności działań administratora lub podmiotu przetwarzającego. Z tego powodu testowanie, ocenianie i mierzenie środków bezpieczeństwa powinno być zaplanowane. Należy również zapewnić zachowanie dokumentacji z przeglądów, gdyż bez tego nie będziemy w stanie wykazać przed organem nadzorczym, że w organizacji środki bezpieczeństwa są monitorowane.

W pewnym zakresie RODO przypomina systemy zarządzania znane z norm ISO, które poza ich wdrożeniem wymagają dokonywania regularnych audytów, sprawdzeń i przeglądów. Przedsiębiorcy, którzy są zaznajomieni z zasadami działania norm ISO, na pewno łatwiej adaptują się do obowiązku zapewnienia zgodności z RODO. Należy jednak zwrócić uwagę, że omawiane przeglądy środków bezpieczeństwa mogą być wykonane zarówno wewnętrznie przez przedsiębiorcę, jak i zlecone na zewnątrz (np. w formie audytów firm zewnętrznych). Jeśli tylko przedsiębiorca posiada odpowiednio wykwalifikowaną kadrę, jest w stanie przeprowadzić stosowne przeglądy samodzielnie.

Wdrożenie zasad ochrony danych osobowych w organizacji nie jest projektem jednorazowym i wymaga podejmowania działań o charakterze ciągłym – sprawdzania (przeglądy), uświadamiania (szkolenia) i ulepszania (zmiany środków bezpieczeństwa). Konieczne jest też uwzględnianie zasad ochrony prywatności przy zmianie i projektowaniu nowych procesów biznesowych w organizacji. Należy także pamiętać, że zalecenia dotyczące środków bezpieczeństwa mogą się zmieniać i ewoluować, dlatego trzeba je regularnie śledzić.

Autor jest menedżerem w Andersen w Polsce

Publicystyka Dane Osobowe Rzecz o prawie

Środki bezpieczeństwa

Pozostało 94% artykułu

Rzecz o prawie

Małecki: Czy Łukasz Ż. może odpowiadać za usiłowanie zabójstwa?

Tragiczne zdarzenie na Trasie Łazienkowskiej dzieli się na dwa etapy: osobną sprawą jest kwalifikacja prawna staranowania innego pojazdu wskutek szaleńczej jazdy, odrębną to, co działo się potem. Oba aspekty zdarzenia wymagają odrębnej kwalifikacji prawnej - pisze prof. Mikołaj Małecki.

Materiał Promocyjny

Leasing Nissan Juke od 1257 zł/mies.

Minister sprawiedliwości i Prokurator Generalny Adam Bodnar

Rzecz o prawie

Łukasz Guza: Szef stajni Augiasza

Kryzys w sądownictwie przypomina już węzeł gordyjski. Cokolwiek by zrobił z nim Adam Bodnar, to i tak narazi się na krytykę.

Rzecz o prawie

Jacek Dubois: Premier, komuna, prezes Manowska i elegancja słów

Premier ma tyle wspólnego z komuną i jej metodami co pani prezes Manowska z elegancją słowa.

Rzecz o prawie

Mikołaj Małecki: Konstytucyjne credo zamiast czynnego żalu

Jak powinien wyglądać rytuał oczyszczenia wadliwie powołanych sędziów?

Materiał Promocyjny

Zarządzenie samochodami w firmie to złożony proces

Całą flotą trzeba zarządzać: na bieżąco serwisować, dbać o każde auto i reagować w razie nieplanowanych zdarzeń, a w przypadku skali staje się to nie lada wyzwaniem.

Rzecz o prawie

Witold Daniłowicz: Myśliwi nie grasują. Wykonują zlecenia państwa

Władza pod wpływem różnego rodzaju grup ideologicznie przeciwnych łowiectwu od kilku lat krok po kroku utrudnia wykonywanie polowań. Wystąpienie RPO do ministra klimatu i środowiska jest kolejnym tego przykładem.

Materiał Promocyjny

Jeep Compass Freedom Edition. Limitowana wersja z korzyścią do 20 000 zł

Dane osobowe

Dane osobowe powodzian zagrożone? Apel Urzędu Ochrony Danych Osobowych

W związku z powodzią na południu Polski, Urząd Ochrony Danych Osobowych zwrócił się do administratorów danych osobowych powiązanych z terenami powodziowymi. Chodzi m.in. o przepisy RODO i dane osobowe powodzian.

Mariusz Błaszczak, szef Klubu Parlamentarnego PiS

Plus Minus

W walce rządu z powodzią PiS kibicuje powodzi

PiS miota się między żenadą a podłością, nie wnosząc właściwie nic konstruktywnego do dyskusji o sposobie radzenia sobie z kryzysem przez obecny rząd, nie proponuje też nic rzeczowego, wybierając rolę niezadowolonego ze wszystkiego recenzenta.

Były prezydent USA, kandydat republikanów w jesiennych wyborach Donald Trump (z prawej) oraz jego ka

Plus Minus

Od telewizyjnej debaty niemal do pogromów: Trump i jedzenie psów i kotów

Jak jeden wpis w internecie o obdzieraniu kotów ze skóry wywołał nastroje pogromowe w Ameryce.

Waluty

Złoty znów próbuje atakować

Złoty pozostaje mocny. Czy dzisiaj pójdzie za ciosem?

Waluty

Emocje na rynku złotego były, ale się skończyły

Obniżka stóp procentowych przez Fed pomogła złotemu w środę wieczorem. W czwartek zmiany były już umiarkowane.

Spotkanie Andrzeja Dudy z Donaldem Trumpem w Nowym Jorku, kwiecień 2024 r.

Plus Minus

Trwa powódź. A gdzie jest prezydent Andrzej Duda?

Ostatnio pisałam swój felieton post factum. Teraz piszę, gdy powódź jeszcze trwa i nie wiadomo, kiedy ani jak się zakończy.

Waluty

Decyzja Fedu wspiera złotego. Polska waluta zaczęła się umacniać

Obniżka stóp procentowych przez Fed pomogła notowaniom złotego. Czy ten ruch uda się utrzymać?

Żołnierz na zniszczonym moście w Stroniach Śląskich

Publicystyka

Marek Kozubal: Powódź to jednak nie jest wojna

Wojsko ofiarnie pomaga w likwidacji skutków powodzi na południu Polski. To nie jest jednak dobry moment, aby wojskiem straszyć i urządzać propagandowe pokazówki.

Świat

Wojna Rosji z Ukrainą. Dzień 940

24 lutego 2022 roku Rosja rozpoczęła pełnowymiarową inwazję na Ukrainę. W nocy z 19 na 20 sierpnia Ukraina była celem ataku dronów. Eksplozje rozlegały się w miastach Równe i Chmielnicki, w Iwano-Frankiwsku aktywna była obrona przeciwlotnicza.

Egzaminy wstępne na aplikacje prawnicze 2023

Aplikacje i egzaminy

Powódź 2024. Co z egzaminami na aplikacje prawnicze? Jest komunikat MS

W piątek Ministerstwo Sprawiedliwości odniosło się do zaplanowanych na 28 września egzaminów wstępnych na aplikacje prawnicze w kontekście sytuacji powodziowej w Polsce.

Biznes

Poczta Polska pomaga powodzianom. Przyspieszyła dostarczanie emerytur

Opłaty pobierane od wpłat dokonanych w placówkach Poczty Polskiej na rzecz organizacji zajmujących się pomocą powodzianom trafią do potrzebujących. Zostaną przekazane organizacjom pożytku publicznego wspierającym poszkodowanych przez żywioł.

Aplikacje randkowe miały dawać użytkownikom i użytkowniczkom szersze pole wyboru partnera czy partne

Społeczeństwo

Aplikacje randkowe „psują” społeczeństwo. To efekt zmiany naszych upodobań

Okazuje się, że aplikacje randkowe pogłębiają podziały społeczne. Zdaniem naukowców powodem jest fakt, że wybieramy osoby podobne do nas samych.

Plus Minus

Grób Hubala w Inowłodzu? Hipoteza za hipotezą

Czy major Henryk Dobrzański został potajemnie pochowany w kaplicy w Inowłodzu? To kolejna hipoteza stawiana w trakcie poszukiwań miejsca ostatniego spoczynku legendarnego dowódcy.

Prawo karne

Rosjanie staną przed sądem w Krakowie za rekrutację do grupy Wagnera

Proces dwóch Rosjan, którzy rozkleili kilkaset „wlepek werbunkowych” umożliwiających nawiązanie bezpośredniego kontaktu z rekrutującymi do grupy Wagnera i działali na rzecz rosyjskiego wywiadu, ruszy przed Sądem Okręgowym w Krakowie.

Siedziba Prokuratury Okręgowej w Warszawie

Prawo karne

Wypadek na Trasie Łazienkowskiej. Prokuratura ujawnia nowe fakty

W piątek prokuratura przedstawiła nowe informacje w sprawie tragicznego wypadku, do jakiego doszło w nocy z soboty na niedzielę na Trasie Łazienkowskiej w Warszawie. W czwartek podano, że podejrzany sprawca Łukasz Ż. został zatrzymany w Niemczech. Wcześniej wydano za nim list gończy, a następnie Europejski Nakaz Aresztowania.

W niechlubnej statystyce największych klientów Rosji na LPG przoduje Polska

Gaz

Polska kupuje najwięcej rosyjskiego LPG. Tak wspieramy rosyjską wojnę

Choć rosyjski eksport LPG zmniejszył się o jedną trzecią w ujęciu rocznym, to wciąż są chętni na zakup tego gazu, stosowanego np. w butlach w domach bez dostępu do gazowej sieci. W niechlubnej statystyce największych klientów Rosji przoduje Polska.

Dane osobowe

Dane osobowe powodzian zagrożone? Apel Urzędu Ochrony Danych Osobowych

Klęski żywiołowe

Donald Tusk wskazał pełnomocnika ds. odbudowy kraju po powodzi

Donald Tusk w czasie sztabu kryzysowego w Nowej Soli wskazał kto zajmie stanowisko pełnomocnika ds. odbudowy kraju po powodzi. Nowy pełnomocnik będzie musiał złożyć mandat eurodeputowanego.

Budżet i podatki

Głosowanie bankomatem? W Ełku przetestują ten pomysł w budżecie obywatelskim

Każdy pomysł jest dobry, by budzić obywatelskie postawy. W Ełku mieszkańcy zagłosują na budżet partycypacyjny za pomocą bankomatów, miasto wspierają przy tym Mastercard i Planet Cash.

Markus Reichel, poseł do Bundestagu z ramienia CDU

Magazyn o biznesie

Jak naprawić niemiecką gospodarkę

Kontrole na wszystkich granicach naszego sąsiada nie powinny zakłócić obiegu gospodarczego w UE

Dyrektor Muzeum Historii Polski Robert Kostro

Polityka

List otwarty w obronie dyrektora Muzeum Historii Polski Roberta Kostro

Plan zwolnienia ze stanowiska dyrektora Muzuem Historii Polski Roberta Kostro "uderza w dobro polskiej kultury, mądre i wyważone promowanie myślenia o polskiej historii i jest po ludzku niesprawiedliwa" - piszą autorzy listu otwartego adresowanego do premiera Donalda Tuska.

Komentarze

Michał Szułdrzyński: Powódź w Polsce. Ktoś tu gra na polityczną polaryzację

55 proc. wszystkich komentarzy, polubień czy innych reakcji w sieci na informacje o powodzi w Polsce dotyczy tak naprawdę polityki i służy polaryzacji. Zdaniem badaczy, to efekt czyjegoś celowego działania. Nic dobrego z tego nie wyniknie.

Film

Polskie Kino Młodego Widza, startuje konkurs SFP dla dzieci i młodzieży

Stowarzyszenie Filmowców Polskich zaprasza do udziału w wielkiej filmowej przygodzie. Konkurs Polskie Kino Młodego Widza jest skierowany do wszystkich, którzy marzą o stworzeniu własnego filmowego świata. Niezależnie od tego, czy mają 5, 10 czy 15 lat. Wystarczy złapać za pędzel, długopis lub klawiaturę i pokazać pasję do kina! Konkurs towarzyszy jubileuszowej 20. edycji programu Polskie Kino Młodego Widza.

Klęski żywiołowe

Powódź w Polsce. Prezydent Andrzej Duda w Głuchołazach apeluje o osuszacze

Chcę z całego serca podziękować żołnierzom, strażakom, ratownikom, wolontariuszom i wszystkim ludziom dobrej woli za pomoc w chwilach, które dla mieszkańców tego terenu są najtrudniejsze – mówił prezydent Andrzej Duda, który odwiedził miejscowości dotknięte powodzią.

Rzecz o prawie

Małecki: Czy Łukasz Ż. może odpowiadać za usiłowanie zabójstwa?

Facebook „nie wie” jak pokazywać polskie artykuły

Media

Zemsta Facebooka za nowe przepisy. „Nie wie” jak pokazywać polskie artykuły

Nagłówki i link, bez przykuwającego uwagę zdjęcia, nudne – Facebook wprowadził nowe zasady dla polskich mediów. I choć twierdzi, że to awaria, rynek mediów w to wątpi. To raczej zemsta za nowe przepisy.

Centralną częścią domu i jego sercem jest kominek.

Architektura

Kameralny dom na Kaszubach w światowej elicie. Walczy o tytuł najpiękniejszego

Dom na kaszubskiej wsi trafił do kolejnego etapu prestiżowego konkursu Dezeen Awards 2024. To projekt Kuby Tomaszczyka, polskiego architekta, który prowadzi pracownię w Szwajcarii.

17.09.2024. Sprzątanie po powodzi w miejscowości Lądek-Zdrój.

Prawo karne

Więzienie na 6 miesięcy za szabrownictwo na terenach powodziowych. Zapadł pierwszy wyrok

Zapadł pierwszy wyrok w sprawie o szabrownictwo na terenach powodziowych. Mężczyzna, który okradł stację benzynową, otrzymał karę sześciu miesięcy pozbawienia wolności.

Tenis

Iga Świątek znów rezygnuje. Podała przyczyny

Iga Świątek nie wystąpi w rozpoczynającym się w przyszłym tygodniu turnieju China Open. W Pekinie miała bronić tytułu i 1000 punktów.

Opinie Ekonomiczne

Ubezpieczyciel o powodzi: „Nie rób dziadostwa, zwiąż drutem”

Idea powszechnego cyklicznego obowiązkowego funduszu katastroficznego to powszechny system ubezpieczeń ryzyk komercyjnie nieubezpieczalnych, który mógłby być pierwszą „linią obrony”, zanim zostałyby uruchomione zasoby finansowe państwa.

Publicystyka

Jędrzej Bielecki: Skąd pochodzą miliardy euro obiecane przez Ursulę von der Leyen?

5 miliardów euro! 10 miliardów euro! - po wystąpieniu Ursuli von der Leyen we Wrocławiu w czwartek wieczorem pojawiły się w mediach doniesienia sensacyjne. Sam Donald Tusk przyznał, że nie są prawdziwe.

Miasto Stronie Śląskie (woj. dolnośląskie) po powodzi, 20 września 2024 r.

Prawo dla Ciebie

Stan klęski żywiołowej rozleje się na kolejne obszary. Rząd podjął decyzję

Nowa decyzja rządu ws. powodzi: obszar stanu klęski żywiołowej będzie rozszerzony o cztery dolnośląskie powiaty. Odpadami po powodzi będzie można się zajmować tylko w sposób ustalony przez władze.