Rejestr napraw, przeglądów i konserwacji urządzeń informatycznych

W przepisach RODO bardzo duży nacisk został położony na zabezpieczenia danych osobowych pod kątem ciągłości wykonywania operacji w zakresie przetwarzania danych osobowych. Jest to moty­wowane koniecznością zabezpieczenia danych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem lub uzyskaniem nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, czyli zgodnie z definicją wskazaną w art. 4 pkt 12 RODO przed naruszeniem ochrony danych osobowych.

Warto bowiem zwrócić uwagę, że w myśl wskazanej wyżej definicji naruszenia ochrony danych osobowych do zdarzeń mogących zostać zakwalifikowanych jako incydenty naruszenia bezpieczeństwa danych, mogą być zakwalifikowane także zdarzenia, do których dochodzi przypadkowo lub z przyczyn losowych. W tej sytuacji niezbędne jest uwzględnienie w planie ciągłości działania systemów informatycznych procedury przeprowadzania napraw, przeglądów i konserwacji urządzeń informatycznych oraz rejestru tych czynności.
 

Ważne

Procedura przeprowadzania napraw, przeglądów i konserwacji urządzeń informatycznych oraz związany z nią rejestr tych czynności to elementy dokumentacji ochrony danych osobowych, która jest częścią działań podejmowanych przez administratora danych w zakresie zapewnienia bezpieczeństwa ciągłości funkcjonowania swoich systemów informatycznych.

Elementem tej dokumentacji pośrednio będzie też procedura związana z dokumentacją incydentów bezpieczeństwa danych osobowych.

Nie ulega bowiem wątpliwości, że wszelkie awarie urządzeń i systemów informatycznych powinny zostać przez administratora danych przenalizowane także pod kątem ewentualnego naruszenia bezpieczeństwa danych osobowych i zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (dalej: PUODO) incydentów w zakresie naruszenia bezpieczeństwa danych.


Obowiązek zapewnienia ciągłości działań

Obowiązek zapewnienia ciągłości działań w zakresie bezpieczeństwa danych osobowych określa szczególnie art. 32
ust. 1 RODO, zgodnie z którym, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym przypadku:

  1. pseudonimizację i szyfrowanie danych osobowych;
  2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  4. egularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Jak wynika z powyższego przepisu, procedury dotyczące napraw i konserwacji urządzeń informatycznych powinny być uwzględnione we wdrożonej u administratora danych Polityce bezpieczeństwa. Zgodnie z wytycznymi PUODO w Polityce bezpieczeństwa danych osobowych administrator danych powinien w miarę potrzeb (w zależności od stosownych rozwiązań technicznych) określić:

  1. Procedury prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń danych osobowych – w dokumentacji tej administrator danych odnotowuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
  2. Wprowadzenie planu ciągłości działania – art. 32 ust. 1 pkt b RODO – polegającego na wdrożeniu przez administratora danych odpowiednich środków technicznych i organizacyjnych pozwalających uzyskać zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
  3. Wprowadzenie procedury odtwarzania systemu po awarii oraz jego testowania – art. 32 ust. 1 pkt c i d RODO – administrator danych zapewnia zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu f...

Dalsza część jest dostępna dla użytkowników z wykupionym planem