Każdy administrator danych ma obowiązek wdrożenia odpowiednich i skutecznych środków ochrony danych, a także powinien być w stanie wykazać, że czynności przetwarzania są zgodne z unijnym rozporządzeniem oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.
Obowiązki administratora
Podmioty przetwarzające dane osobowe są zobowiązane przestrzegać przepisów RODO i co za tym idzie - muszą być w stanie wykazać, że tych regulacji przestrzegają. Dlatego administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie środki mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń.
RODO stanowi, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z jego przepisami administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki - takie jak szyfrowanie - minimalizujące to ryzyko. Środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, a także uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
Wskazówki wynikające z RODO
RODO jest aktem prawnym neutralnym technologicznie. Oznacza to, że nie wskazuje, jakie środki i zabezpieczenia powinny być stosowane przez administratorów danych. Postęp technologiczny jest coraz szybszy i przepisy nie byłyby w stanie nadążyć za zmianami. Ustawodawca unijny stworzył więc akt, który ma być aktem obowiązującym przez wiele lat.
To administrator danych podejmuje decyzję o tym, jakie środki i zabezpieczenia będą u niego w jednostce wdrożone. Taką decyzję podejmuje w oparciu o wiedzę na temat tego, jakie dane przetwarza, w jakich zbiorach i systemach, na jakie zagrożenia są narażone przetwarzane dane. Administrator danych powinien więc - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze - wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Stosowanymi zabezpieczeniami mogą być:
- pseudonimizacja i szyfrowanie danych osobowych,
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Wspomniana pseudonimizacja oznacza przetworzenie danych osobowych w taki sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.
Wśród wymienionych przykładowo środków znalazła się zdolność do zapewnienia poufności, integralności i odporności systemów i usług przetwarzania. Za bezpieczeństwo danych przetwarzanych w systemach komputerowych odpowiada administrator i podmiot przetwarzający, którzy powinni zapewnić aktualne oprogramowania oraz regularne testowanie środków bezpieczeństwa.
O konieczności aktualizowania stosowanych w jednostce programów komputerowych informuje Urząd Ochrony Danych Osobowych na stronie www.uodo.gov.pl. Z informacji tych wynika, że: "Aktualizacje są nieodłącznym aspektem w świecie informatycznym, dlatego należy zdawać sobie sprawę z tego, że regularne aktualizowanie programów antywirusowych, oprogramowania typu firewall, przeglądarek, a także innych aplikacji i całych systemów operacyjnych, z których korzystamy na co dzień, jest jednym z kluczowych warunków zapewniających bezpieczną i stabilną pracę naszego komputera".
Poza tym trzeba pamiętać o opracowaniu odpowiednich regulaminów pracy z systemami informatycznymi, sprzętem komputerowym, korzystania z poczty elektronicznej, pracy z nośnikami elektronicznymi zawierającymi dane osobowe, korzystania z internetu. Ze wszystkimi tymi regulaminami należy zapoznać pracowników i inne osoby, które przetwarzają dane osobowe.