Sercem ochrony danych osobowych są prawa i wolności osób fizycznych (które w uproszeniu będą dalej określane mianem prywatności, chociaż nie są to identyczne pojęcia).
Dane osobowe mają swój cykl życia – są zbierane, przechowywane, używane, współdzielone, udostępniane, przesyłane i usuwane1. Ryzyko może być inne na każdym etapie, ale zawsze musi być brane pod uwagę.
RODO nakłada obowiązek wdrożenia odpowiednich środków pozwalających zapewnić przestrzeganie przepisów oraz możliwość wykazania ich przestrzegania, uwzględniając m.in. ryzyko naruszenia praw lub wolności osób
fizycznych o różnym prawdopodobieństwie i wadze zagrożenia (art. 24 ust. 1).
Motyw 76 RODO wskazuje:
Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy
określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko.
Motyw 83 RODO określa natomiast, że:
W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko.
Cała sekcja 2 RODO poświęcona jest bezpieczeństwu danych osobowych.
Dla działu IT najważniejsze są następujące zapisy:
Artykuł 32:
1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
a) pseudonimizację i szyfrowanie danych osobowych;
b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Artykuł 34 ust. 1:
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Artykuł 35 (dotyczący oceny skutków dla ochrony danych):
1. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakr...
Dalsza część jest dostępna dla użytkowników z wykupionym planem