Kontynuujemy serię poświęconą zasadom przetwarzania danych osobowych, które zostały uregulowane w art. 5 RODO. Tym razem przybliżona zostanie zasada „integralność i poufność”.
Została ona uregulowana w art. 5 ust. 1 lit. f RODO, zgodnie z którym dane osobowe muszą być: „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.
Wyżej wskazany przepis nakłada na administratorów danych jeden z kluczowych obowiązków – przeprowadzenie analizy ryzyka odpowiedniej do charakteru przetwarzanych danych, tak aby zapewnić im właściwy poziom ochrony. Administrator powinien brać pod uwagę przede wszystkim ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
„INTEGRALNOŚĆ I POUFNOŚĆ” W PRAKTYCE
Przepisy RODO nie wskazują katalogu zabezpieczeń, jakie muszą być stosowane w celu zapewnienia właściwego poziomu ochrony. Oznacza to, że administrator musi samodzielnie dobrać rozwiązania odpowiednie do charakteru, zakresu i celów przetwarzania. W tym zakresie niezbyt pomocne są wskazówki zawarte w art. 32 RODO, który odwołuje się m.in. do ryzyka naruszenia praw i wolności osób fizycznych oraz wymienia przykładowe środki ochrony (takie jak pseudonimizacja czy szyfrowanie danych). Przepis ten podkreśla konieczność ciągłego zapewniania poufności, integralności oraz dodatkowo dostępności danych, a także zdolności do szybkiego przywrócenia dostępu do nich po incydencie oraz regularnego testowania i mierzenia skuteczności stosowanych zabezpieczeń. Jednak poza dwoma przykładami nie wymienia żadnych innych konkretnych środków bezpieczeństwa.
CZYM JEST INTEGRALNOŚĆ I POUFNOŚĆ
Integralność danych oznacza zachowanie ich spójności, dokładności i wiarygodności na każdym etapie przetwarzania, a także ochronę przed nieuprawnioną modyfikacją lub usunięciem. Z perspektywy administratora integralność oznacza konieczność wdrożenia takich środków technicznych i organizacyjnych, które pozwolą na kontrolę dostępu do danych oraz rejestrowanie wykonywanych na nich operacji. Istotne znaczenie mają w tym zakresie m.in. mechanizmy autoryzacji i uwierzytelniania użytkowników oraz narzędzia umożliwiające odtworzenie historii zmian i kopii zapasowych.
Poufność danych oznacza obowiązek ich zabezpieczenia przed dostępem osób nieuprawnionych, w szczególności przed ich ujawnieniem lub udostępnieniem podmiotom, które nie posiadają do tego odpowiedniej podstawy prawnej ani upoważnienia. Ochrona poufności obejmuje zarówno zabezpieczenie danych przed dostępem osób trzecich spoza organizacji, jak i właściwe zorganizowanie dostępu wewnętrznego. W praktyce oznacza to, że administrator danych powinien wdrożyć rozwiązania ograniczające dostęp do danych wyłącznie do osób, którym jest on niezbędny do realizacji powierzonych zadań. Przykładem może być wprowadzenie systemu kontroli obiegu dokumentów, która ogranicza dostęp do pism zawierających dane osobowe wyłącznie do osób faktycznie uczestniczących w danym procesie.
Poufność jest zapewniana przez stosowanie odpowiednich zabezpieczeń technicznych, takich jak silne mechanizmy uwierzytelniania, szyfrowanie danych przechowywanych na nośnikach elektronicznych oraz zabezpieczanie transmisji danych (zwłaszcza w przypadku pracy zdalnej). Równie istotne jest stosowanie praktycznych rozwiązań ograniczających ryzyko nieuprawnionego ujawnienia danych, mających na celu bezpieczne przesyłanie danych drogą elektroniczną. Może to być m.in. wprowadzenie mechanizmów ostrzegających użytkownika, że wiadomość jest kierowana do adresata spoza organizacji. Z kolei ograniczenie możliwości kopiowania danych na nośniki zewnętrzne ma na celu zapobieganie ich dalszemu, niekontrolowanemu rozpowszechnianiu poza systemami administratora.
PODSUMOWANIE
Zgodnie z zasadą „integralność i poufność” administrator danych jest zobowiązany do zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych. Nie ogranicza się to jednak do jednorazowego wdrożenia określonych rozwiązań. W praktyce zastosowane środki bezpieczeństwa wymagają stałego monitorowania oraz dostosowywania do zmian w sposobie przetwarzania danych, rozwoju technologii i pojawiających się nowych zagrożeń.
Osoby zainteresowane pogłębioną analizą tematu, więcej informacji mogą znaleźć w tym artykule.