Procedura przeglądu dokonanych ocen wpływu podejmowanych działań na bezpieczeństwo danych osobowych

Procedura jest jedynie propozycją zapisów. Przedstawione wytyczne powinny być dostosowane do struktury firmy i wykonywanych operacji przetwarzania danych.

Uwzględniając stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst, cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożono odpowiednie środki techniczne i orga­nizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in.:

  • pseudonimizację i szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Administrator podejmuje ciągłe działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
Osoby upoważnione do przetwarzania danych monitorują, czy nie pojawiają się nowe zagrożenia w procesie przetwarzania danych. Inspektor ochrony danych osobowych prowadzi ciągłą kontrolę zasad przetwarzania danych, monitoruje zagrożenia oraz prowadzi ciągłą analizę ryzyka związanego z przetwarzaniem danych osobowych, a w szczególności ryzyka związanego z procesami mogącymi doprowadzić do naruszenia praw lub wolności osób fizycznych.