Wymogi dla systemów informatycznych przetwarzających dane osobowe
Niewiele ponad dwa tygodnie pozostały nam do wejścia w życie nowych przepisów o ochronie danych osobowych. Przyjęte przez Parlament Europejski w kwietniu 2016 r. Ogólne Rozporządzenie o Ochronie Danych zwane u nas Rozporządzeniem o Ochronie Danych Osobowych (RODO) zacznie obowiązywać z dniem 25 maja 2018 roku.
Prawnicy aktywnie wspierają swoich klientów w dostosowaniu wymogów formalnych do nowych przepisów. Przygotowanie odpowiednich wzorów klauzul informacyjnych, pytań o zgody na przetwarzanie danych osobowych oraz umów powierzenia bądź udostępnienia danych to jednak nie wszystko. Istotne bowiem jest, aby wraz z działaniami formalno-prawnymi dostosować do nowych realiów infrastrukturę techniczną. I tutaj często pojawia się pytanie, na które prawnicy nie potrafią odpowiedzieć: „jakie wymogi musi spełniać infrastruktura IT, aby uznać ją za zgodną z zapisami RODO”? Problem ten wynika z faktu, iż w przeciwieństwie do „starej” Ustawy o Ochronie Danych Osobowych nowe regulacje nie wskazują konkretnych wymogów technicznych. W całym Rozporządzeniu pojawiają się jedynie ogólne przesłanki dotyczące bezpieczeństwa infrastruktury. Jak się zatem do nich dostosować? Postaramy się pomóc Państwu znaleźć odpowiedź na to pytanie.
Jakie zatem są te ogólne wymagania? Najwięcej na ten temat mówi Artykuł 32 RODO, w którym określono, iż administrator danych osobowych wdraża odpowiednie środki techniczne aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Zwraca się m.in. uwagę na rozwiązania takie jak:
- Szyfrowanie danych osobowych
- Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
- Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
- Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzania