Najważniejszym przepisem dotyczącym ochrony danych osobowych jest artykuł 32,
ustęp 1 RODO. Brzmi on następująco:
„Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”.
Z powyższego tekstu wynika, że ustawodawca nie narzuca rodzaju środków technicznych, jakie należy zastosować dla ochrony zgromadzonych i przetwarzanych danych osobowych, oraz to, że administrator i podmiot przetwarzający powinien dokonać samodzielnej oceny ryzyka związanego z prowadzonymi operacjami przetwarzania oraz samodzielnie dobrać adekwatne środki ochronne.
Przy dobieraniu tych środków z jednej strony należy brać pod uwagę wielkość i zakres potencjalnych strat związanych z ewentualnymi naruszeniami, a z drugiej aktualną wiedzę techniczną i koszt wdrożenia rozwiązań zabezpieczających.
Nie określając szczegółowych środków technicznych, jakie należy zastosować w każdym konkretnym przypadku, ustawodawca dość szczegółowo określa oczekiwania względem podmiotów przetwarzających. Są to:
– pseudonimizacja i szyfrowanie danych osobowych;
– zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
– zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
– regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Zgodnie z art. 32, ust. 2 RODO, przeprowadzana przez administratora ocena ryzyka musi uwzględniać w szczególności ryzyko wiążące się z:
– przypadkowym lub niezgodnym z prawem zniszczeniem;
– utratą;
– modyfikacją;
– nieuprawnionym dostępem.
Widać więc wyraźnie, że ustawodawca oczekuje od administratora i podmiotu przetwarzającego zabezpieczenia danych zarówno przez nieautoryzowanym działaniem osób trzecich, jak i przed różnego rodzaju działaniami losowymi.
Jeśli chodzi o drugą możliwość, należy wziąć pod uwagę takie czynniki jak lokalizacja przedsiębiorstwa, podatność na czynniki atmosferyczne, jakość infrastruktury elektrycznej i wodnej oraz poziom ochrony przeciwpożarowej. Każde z powyższych zagrożeń może być minimalizowane przy użyciu odpowiednich środków technicznych.
Jednak absolutnie kluczowym zagadnieniem jest ochrona danych osobowych przed nieautoryzowanym dostępem osób trzecich. Wymaga to dwóch rodzajów zabezpieczeń. Po pierwsze są to środki elektroniczne, takie jak hasła dostępu, oprogramowanie antywirusowe i szkolenia pracowników w zakresie cyber-bezpieczeństwa. Po drugie, konieczne jest zastosowanie zabezpieczeń fizycznych. Fizyczny dostęp do siedziby administratora jest niebezpieczny z dwóch powodów. Po pierwsze umożliwia kontakt ze zgromadzonymi w firmie dokumentami, po drugie ułatwia zdobycie haseł dostępu i penetrację systemów komputerowych.
Planując ograniczenie dostępu do pomieszczeń należy rozważyć możliwość zastosowania: ogrodzeń zewnętrznych, właściwych zabezpieczeń drzwi i okien, kontroli dostępu przy pomocy środków elektronicznych i wyspecjalizowanego personelu. Zastosowane zabezpieczenia powinny być zaprojektowane w ten sposób aby opóźnić dostęp do ochronionych pomieszczeń na czas niezbędny do przybycia policji lub personelu agencji ochrony.
W interesie administratora jest wykazanie zarówno przed organem nadzorczym, jak i przed innymi zainteresowanymi podmiotami wywiązywania się z obowiązków związanych z art. 32 RODO. Rozporządzenie podpowiada w tym zakresie dwie metody postępowania, którymi są: zatwierdzony kodeks postępowania oraz zatwierdzony mechanizm certyfikacji. Szczegóły określają art. 40 i 42 RODO.