W przepisach RODO bardzo duży nacisk został położony na zabezpieczenia danych osobowych pod kątem ciągłości wykonywania operacji w zakresie przetwarzania danych osobowych. Jest to motywowane koniecznością zabezpieczenia danych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub uzyskaniem nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, czyli zgodnie z definicją wskazaną w art. 4 pkt 12 RODO przed naruszeniem ochrony danych osobowych.
Warto bowiem zwrócić uwagę, że w myśl wskazanej wyżej definicji naruszenia ochrony danych osobowych do zdarzeń mogących zostać zakwalifikowanych jako incydenty naruszenia bezpieczeństwa danych, mogą być zakwalifikowane także zdarzenia, do których dochodzi przypadkowo lub z przyczyn losowych. W tej sytuacji niezbędne jest uwzględnienie w planie ciągłości działania systemów informatycznych procedury przeprowadzania napraw, przeglądów i konserwacji urządzeń informatycznych oraz rejestru tych czynności.
Ważne
Procedura przeprowadzania napraw, przeglądów i konserwacji urządzeń informatycznych oraz związany z nią rejestr tych czynności to elementy dokumentacji ochrony danych osobowych, która jest częścią działań podejmowanych przez administratora danych w zakresie zapewnienia bezpieczeństwa ciągłości funkcjonowania swoich systemów informatycznych.
Elementem tej dokumentacji pośrednio będzie też procedura związana z dokumentacją incydentów bezpieczeństwa danych osobowych.
Nie ulega bowiem wątpliwości, że wszelkie awarie urządzeń i systemów informatycznych powinny zostać przez administratora danych przenalizowane także pod kątem ewentualnego naruszenia bezpieczeństwa danych osobowych i zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO) incydentów w zakresie naruszenia bezpieczeństwa danych.
Obowiązek zapewnienia ciągłości działań
Obowiązek zapewnienia ciągłości działań w zakresie bezpieczeństwa danych osobowych określa szczególnie art. 32
ust. 1 RODO, zgodnie z którym, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- egularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Jak wynika z powyższego przepisu, procedury dotyczące napraw i konserwacji urządzeń informatycznych powinny być uwzględnione we wdrożonej u administratora danych Polityce bezpieczeństwa. Zgodnie z wytycznymi PUODO w Polityce bezpieczeństwa danych osobowych administrator danych powinien w miarę potrzeb (w zależności od stosownych rozwiązań technicznych) określić:
- Procedury prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń danych osobowych – w dokumentacji tej administrator danych odnotowuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
- Wprowadzenie planu ciągłości działania – art. 32 ust. 1 pkt b RODO – polegającego na wdrożeniu przez administratora danych odpowiednich środków technicznych i organizacyjnych pozwalających uzyskać zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
- Wprowadzenie procedury odtwarzania systemu po awarii oraz jego testowania – art. 32 ust. 1 pkt c i d RODO – administrator danych zapewnia zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu f...
Dalsza część jest dostępna dla użytkowników z wykupionym planem