Zabezpieczenia danych

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO).

Jak RODO normuje zabezpieczenia danych?

Jednym z podstawowych celów ogólnego rozporządzenia o ochronie danych było dostosowanie zasad ochrony danych do wyzwań XXI wieku, takich jak internet rzeczy, czytniki RFID czy przetwarzanie danych w chmurze obliczeniowej. Prawo nigdy nie nadąży za rozwojem technologicznym, stąd też wiele przepisów rozporządzenia jest bardzo ogólnych i przede wszystkim technologicznie neutralnych (bez odniesień do konkretnych rozwiązań) – po to aby rozporządzenie zachowało aktualność również za 5 czy 10 lat.

Z powyższych względów przyjęto w rozporządzeniu koncepcja uwzględniania w każdym procesie przetwarzania danych ryzyka dla praw i wolności, jakie może nieść to przetwarzanie i każdorazowe dostosowywanie wykorzystywanych narzędzi zabezpieczających dane to tego ryzyka.

##baner##

Do czego będzie zobowiązany każdy administrator danych?

Każdy administrator danych zobowiązany jest do tego, żeby dane osobowe przetwarzał z poszanowaniem podstawowych zasad.

W kontekście nadchodzących zmian szczególną uwagę warto zwrócić na zasadę integralności i poufności. Rozporządzenie definiuje ją tak: „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.

Każdy, kto przetwarza dane osobowe, musi więc odpowiednio je zabezpieczyć, tak by uniemożliwić ich nieuprawnione udostępnienie. W ogólnym rozporządzeniu nie znajdziemy jednak szczegółowych wskazówek, jakie środki organizacyjne i techniczne wdrożyć. Rozporządzenie zachęca jedynie do skorzystania z narzędzi pseudonimizacji bądź szyfrowania danych.

W przepisach RODO nie znajdziemy też minimalnych standardów technicznych bezpieczeństwa danych, a w maju 2018 roku przestanie w dodatku obowiązywać rozporządzenie techniczne MSWiA do ustawy o ochronie danych osobowych (gdzie mamy chociażby wskazówki dotyczące częstotliwości zmiany hasła).

Zgodnie z zasadą rozliczalności, to administrator danych – uwzględniając aktualny stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres i cele przetwarzania danych – samodzielnie będzie decydował, jakie środki bezpieczeństwa wdrożyć, żeby zapewnić zgodność przetwarzania danych z wymogami rozporządzenia.

Może zatem uznać, że od maja 2018 r. nadal aktualne pozostaną środki techniczne i organizacyjne wdrożone i udokumentowane w dotychczasowej polityce bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym, bądź też podjąć decyzję o wdrożeniu zupełnie nowych środków.

Jakich ryzyk trzeba się wystrzegać?

Ważne jest, aby oceniając stopień bezpieczeństwa przetwarzanych danych osobowych, uwzględnić przede wszystkim ryzyko wiążące się z przetwarzaniem – wynikające np. z przypadkowego czy niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Ryzyko to może prowadzić do kradzieży tożsamości, straty majątkowej, czy też naruszenia dóbr osobistych osoby, których te dane dotyczą.

W sytuacji, gdyby doszło to takiego naruszenia ochrony danych, każdy administrator będzie zobowiązany do zgłoszenia tego faktu do organowi regulacyjnemu, a w szczególnych przypadkach także do osób, których dane zostały naruszone.

W tym aspekcie pomocne może być stosowanie zatwierdzonych przez ten organ po 25 maja 2018 r. kodeksów postępowania. W tych właśnie dokumentach możliwe będzie doprecyzowanie przepisów ogólnego rozporządzenia, także tych dotyczących bezpieczeństwa danych.

Grupa administratorów danych – np. zrzeszonych w izbie czy związku branżowym – może w opracowanym kodeksie zaproponować modelowe rozwiązania techniczne mające na celu zapewnienie poufności i integralności danych, a które będą ponadto bardzo pomocne dla wszystkich administratorów, którzy zobowiążą się do stosowania kodeksu.

Innym rozwiązaniem, dzięki któremu będzie można wykazać wywiązywanie się z obowiązku zabezpieczania danych, będzie stosowanie mechanizmu certyfikacji, a więc uzyskiwanie stosownych certyfikatów i znaków jakości potwierdzających właściwe zabezpieczenie danych osobowych.

Źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa mogą być również, krajowe, europejskie lub międzynarodowe normy, w tym normy ISO.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

Potrzebujesz porady prawnej?

Jak powołać inspektora ochrony danych?

Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)

Dokumentacja przetwarzania danych osobowych według RODO

Dokumentacja przetwarzania danych osobowych według RODO

Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych (...)

Obowiązki związane z naruszeniami ochrony danych osobowych

Obowiązki związane z naruszeniami ochrony danych osobowych

Co to jest naruszenie danych osobowych? Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (...)

Na czym polega powierzenie przetwarzania danych osobowych i jakie wiążą się z tym obowiązki?

Na czym polega powierzenie przetwarzania danych osobowych i jakie wiążą się z tym obowiązki?

Powierzenie przetwarzania danych innemu podmiotowi jest uregulowane w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2015.2135 z późn. zm.) – dalej „u.o.d.o.”   Zgodnie z art.  31. u.o.d.o. 1. Administrator danych może powierzyć innemu (...)

Dokumentacja papierowa zawierająca dane osobowe a praca zdalna

Dokumentacja papierowa zawierająca dane osobowe a praca zdalna

Pracodawca w wyjątkowych sytuacjach może zezwolić pracownikom na korzystanie w pracy zdalnej z dokumentacji papierowej zawierającej dane osobowe. Wiąże się to jednak z większym ryzykiem naruszenia bezpieczeństwa danych osobowych oraz związaną z nim koniecznością (...)

Ocena skutków dla ochrony danych

Ocena skutków dla ochrony danych

Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności (...)

Zasady RODO - nowe podejście do ochrony danych osobowych

Zasady RODO - nowe podejście do ochrony danych osobowych

W swym założeniu RODO ma na celu wzmocnienie podstawowych praw obywateli w epoce cyfrowej oraz ułatwienie przedsiębiorstwom i organizacjom działania na wspólnym rynku (gdyż gwarantuje jednolitą ochronę danych osobowych w Unii Europejskiej). RODO ma zastosowanie od 25 maja 2018 r. Nowe (...)

Przetwarzanie danych przy rekrutacji pracowników a RODO

Przetwarzanie danych przy rekrutacji pracowników a RODO

Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich (...)

RODO w pracy - przetwarzanie danych w miejscu pracy.

RODO w pracy - przetwarzanie danych w miejscu pracy.

Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych.   Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony (...)

Nowa ustawa o ochronie danych osobowych!

Nowa ustawa o ochronie danych osobowych!

Ustawa o ochronie danych osobowych w założeniu ma zapewnić lepszą ochronę danych osobowych. Nowe regulacje wynikają z konieczności zapewnienia w Polsce skutecznego stosowania rozporządzenia UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie (...)

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak (...)

Skład podatkowy - jak go otworzyć?

Skład podatkowy - jak go otworzyć?

Skład podatkowy - czyli co? Skład podatkowy to miejsce określone w zezwoleniu, w którym wyroby akcyzowe są produkowane, magazynowane lub przeładowywane w procedurze zawieszenia poboru akcyzy. Skład podatkowy to także miejsce, do którego wymienione wyroby są wprowadzane bądź (...)

Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje

Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje

6 lutego 2019 r. weszła w życie ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), wdrażająca do polskiego porządku prawnego dyrektywę 2016/680, zwana (...)

Mniej wolności i prywatności dla większego bezpieczeństwa...

Mniej wolności i prywatności dla większego bezpieczeństwa...

Bezpieczeństwo bez kompromisów Łatwiejszy dostęp organów ścigania do informacji finansowych osób podejrzanych o terroryzm, dane biometryczne we wszystkich dowodach tożsamości, nowa lista zakazanych substancji, które mogą być wykorzystywane do produkcji (...)

Opodatkowanie akcyzą płynu do papierosów elektronicznych i wyrobów nowatorskich

Opodatkowanie akcyzą płynu do papierosów elektronicznych i wyrobów nowatorskich

Przeczytaj ważne informacje na temat prawidłowego prowadzenia działalności gospodarczej w zakresie płynu do papierosów elektronicznych i wyrobów nowatorskich. Opodatkowanie akcyzą Podstawowym aktem prawnym dotyczącym podatku akcyzowego w Polsce jest ustawa o podatku akcyzowym, która (...)

Dane dzieci bezpieczne w Internecie

Dane dzieci bezpieczne w Internecie

Wraz z rozwojem nowych technologii liczba zagrożeń związanych z utratą danych stale rośnie. Najbardziej narażone na nie są dzieci. Dostęp do nieodpowiednich treści to niewątpliwie jedno z największych zagrożeń, jakie czyha na najmłodszych użytkowników. Niestety, większość (...)

Zasady przetwarzania danych osobowych oraz ich zabezpieczanie

Zasady przetwarzania danych osobowych oraz ich zabezpieczanie

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, nadto administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych (...)

Nowelizacja ustawy o ochronie danych osobowych

Nowelizacja ustawy o ochronie danych osobowych

Sejm znowelizował ustawę o ochronie danych osobowych. Zmiany mają na celu dostosowanie tej regulacji do prawa unijnego.Doprecyzowano m. in. słowniczek ustawowy. Zgodnie z nowelą, za administratora danych osobowych rozumieć należy organ, jednostkę organizacyjną lub osobę, do której zastosowanie (...)

Transfer danych UE-USA: ważny wyrok

Transfer danych UE-USA: ważny wyrok

Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko (...)

Szykuje się skuteczniejszy pobór abonamentu RTV

Szykuje się skuteczniejszy pobór abonamentu RTV

Abolicja dla osób posiadających zaległości z tytułu nieuiszczania opłat abonamentowych, uproszczona rejestracja odbiorników i poprawa skuteczności poboru abonamentu RTV, a tym samym wsparcie dla misji pełnionej przez media publiczne – to główne założenia proponowanej (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Rejestracja bazy danych w GIODO

Rejestracja bazy danych w GIODO

Co powinienem wiedzieć o rejestracji bazy danych w GIODO? W pierwszej kolejności podajemy podstawowe informacje, z którymi zapoznanie jest konieczne dla prawidłowego wykonania obowiązków (...)

Zbiory doraźne a drobne sprawy życia codziennego

Zbiory doraźne a drobne sprawy życia codziennego

Jakie są różnice między przetwarzaniem w zbiorach doraźnych, a przetwarzaniem w zakresie drobnych bieżących spraw życia codziennego? W odniesieniu do zbiorów danych osobowych sporządzanych doraźnie, (...)

Ujawnienie tajemnicy przedsiębiorstwa a czyn nieuczciwej konkurencji

Ujawnienie tajemnicy przedsiębiorstwa a czyn nieuczciwej konkurencji

Czy czynem nieuczciwej konkurencji jest ujawnianie przez pracownika tajemnicy przedsiębiorstwa, w którym był zatrudniony? Zgodnie z art. 11 ust. 1 ustawy o zwalczaniu nieuczciwej konkurencji czynem (...)

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie (...)

Ochrona danych osobowych

Ochrona danych osobowych

Chodząc na spotkania biznesowe w prawie każdym biurowcu ochrona żąda okazania dowodu osobistego lub innego dowodu ze zdjęciem i spisuje nr dowodu. Czy jest to zgodne z prawem? Po pierwsze gromadzą (...)

Naruszenie danych osobowych i dóbr osobistych

Naruszenie danych osobowych i dóbr osobistych

Napisałem kronikę rodzinną, w której zamieściłem zdjęcia przodków, potomków prawie całego drzewa genealogicznego. Zamieściłem również dane osobowe, daty urodzeń, ślubów, opisy dotyczące (...)

Szkoda z powodu ujawnienia danych osobowych

Szkoda z powodu ujawnienia danych osobowych

Za jakie rodzaje szkód (co można zaliczyć do szkody) powstałych w wyniku ujawnienia danych osobowych szerokiemu kręgowi odbiorców w publikacjach ogólnodostępnych można dochodzić roszczeń na (...)

Dostęp do akt osobowych pracownika

Dostęp do akt osobowych pracownika

Mała firma chce zatrudnić pracownika na umowę o dzieło w celu uporządkowania i utworzenia teczek osobowych dla zatrudnionych pracowników (aktualnie i już niepracujących). Pracownicy mają (...)

Sprzedaż majątku po złożeniu wniosku o upadłość

Sprzedaż majątku po złożeniu wniosku o upadłość

Spółka akcyjna złożyła do sądu wniosek o ogłoszenie upadłości z możliwością zawarcia układu. Wniosek nie jest jeszcze rozpatrzony i nie wyznaczono jeszcze terminu. Czy w aktualnej sytuacji (...)

Zakres odpowiedzialności ubezpieczyciela

Zakres odpowiedzialności ubezpieczyciela

Słyszałem, że w umowach ubezpieczyciele zwalniają się z odpowiedzialności za kradzież samochodu, jeśli użytkownik pozostawił w samochodzie dokumenty. Nie widzę związku pomiędzy pozostawieniem (...)

Formy zabezpieczenia kredytu

Formy zabezpieczenia kredytu

W 2001 r. zawarto umowę kredytu mieszkaniowego pod hipotekę. Zabezpieczeniem miał być wpis hipoteki w księdze wieczystej, cesja ubezpieczenia i poręczenie wekslowe podpisane przez żyrantów. Wystąpiły (...)

Założenie agencji pośrednictwa pracy

Założenie agencji pośrednictwa pracy

Jakie dokumenty trzeba złożyć ubiegając się o wpis do rejestru agencji pośrednictwa pracy za granicą? Rejestr agencji zatrudnienia prowadzi Minister właściwy do spraw pracy. Dokonanie wpisu potwierdza (...)

Prawa komornika sądowego do informacji o dłużniku

Prawa komornika sądowego do informacji o dłużniku

Organ prowadzący egzekucję (komornik sądowy) ma prawo zasięgać informacji w różnych instytucjach administracyjnych w sprawie danych dłużnika (np. meldunkowych) wobec którego toczy (...)

Podstawa prawna odszkodowania

Podstawa prawna odszkodowania

Czy w ramach ustawy o ochronie danych osobowych, poszkodowanemu (dokumenty z danymi osobowymi znaleziono na śmietniku) przysługuje jakieś odszkodowanie. Jeżeli tak to z jakiego artykułu, jaka jest (...)

Ubezpieczenie pracownika oddelegowanego

Ubezpieczenie pracownika oddelegowanego

Pracownik zatrudniony w Polsce na umowę o pracę zostaje przez firmę oddelegowany na okres 12 miesięcy do pracy w Centrali w Czechach (w Pradze). Jak powinnam rozliczać jego wynagrodzenie (ujęcie (...)

Ustalenie adresu dłużnika

Ustalenie adresu dłużnika

Firma otrzymała nakaz zapłaty dla jej dłużnika. Sąd przysłał pismo zobowiązujące do wskazania aktualnego adresu pozwanego, gdyż korespondencja wysyłana na adres dłużnika znany firmie, wraca (...)

FORUM PRAWNE

podgladanie w pracy przez szefa kamera

podgladanie w pracy przez szefa kamera Mam takie pytanie - czy szef moze w zakladzie pracy zamontowac kamery i korzystac z ich obrazu poprzez internet w domu patrzac co robia jego pracownicy? Wlasnie tak (...)

Jakie jest ryzyko wykradzenia danych z karty zbliżeniowej

Jakie jest ryzyko wykradzenia danych z karty zbliżeniowej Witam. Temat nie jest nowy ale odpowiedzi jest mniej inż pytań. Według danych z money.pl Polacy mają 10 mln kart zbliżeniowych. Problemem (...)

PILNIE PROSZĘ O POMOC - alimenty u Komornika

PILNIE PROSZĘ O POMOC - alimenty u Komornika Może zacznę od tego że mój mąż ma zasądzone alimenty w kwocie 320 zł. na swoje 6-cio letnie dziecko.W 2006 r. sprawa trafiła do komornika z powodu (...)

Klauzule zakazane - sprawdzenie regulaminu sklepu internetowego

Klauzule zakazane - sprawdzenie regulaminu sklepu internetowego Witam, pozwów przez jakąś organizacje ciąg dalszy, na początek maja mam nieobowiązkowe przesłuchanie w swojej sprawie, aż niby trzy (...)

Ratunku Kruk ściga PILNE

Ratunku Kruk ściga PILNE Mam pytanie co robić w 1999 mąż zawarł umowe z cyfra + , w umowie zaznaczył iż opłaty abonamentowej bedzie dokonywał miesiecznie książeczką opłat. Cyfra została podłączona (...)

Kiedy przedawni się kredyt?

Kiedy przedawni się kredyt? Sprawa jest tego typu - kredyt był wzięty w 98 roku, poczatkowo był spłacany regularnie potem nastapiły problemy. Kwota kredytu 3400. Spłacone 1500 kapitału. miałbyć (...)

Problem z mBank!

Problem z mBank! Mam strasznie nieprzyjemną sprawe i problem. Pewnego dnia wchodząc na moje konto bankowe przez internet ze zdziwieniem zauważyłem że ktoś bo napewno nie ja przesłał na nieznane (...)

Co zrobić kiedy regularnie płacę alimenty a pomimo tego moja była oddała sprawę do komornika

Co zrobić kiedy regularnie płacę alimenty a pomimo tego moja była oddała sprawę do komornika Płace na bieżąco ustalone przez sąd alimenty, pomimo tego moja była oddała mnie do komornika, który (...)

art. 286 § 1 kk

art. 286 § 1 kk Art. 286. § 1. Kto, w celu osiągnięcia korzyści majątkowej, doprowadza inną osobę do niekorzystnego rozporządzenia własnym lub cudzym mieniem za pomocą wprowadzenia jej (...)

Art. 268a kodeksu karnego - niszczenie danych informatycznych

Art. 268a kodeksu karnego - niszczenie danych informatycznych Witam i sory za problemy dyslektyczne na wstępie piszę jeśli omyliłem działy proszę umieszczenie w odpowiednim dziale a teraz do rzeczy (...)

alimenty a możliwości ojca....

alimenty a możliwości ojca.... Witam.Potrzebuje porady.Rozeszłam się z ojcem swojego 8 miesięcznego dziecka.Nie mielismy ślubu.Rozchodzac sie zostałam bez środków do życia.Sytuacja zmusza mnie (...)

Porady prawne