Struktura zbioru danych osobowych
2011-10-25 12:14
Przeczytaj także: Zakres przedmiotowy i obszar przetwarzania danych osobowych
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych
Zanim przejdę do opisu tego rozdziału, konieczne jest przybliżenie pojawiających się w tytule pojęć. Wszystkie one zostały zdefiniowane w Rozporządzeniu, w jego § 2. Przez rozliczalność należy rozumieć taką właściwość, która zapewnia, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Pod pojęciem integralności danych rozumie się właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, natomiast poufności danych oznacza właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
Z punktu widzenia tego rozdziału polityki bezpieczeństwa istotne jest jeszcze sięgnięcie do przepisu zawartego w art. 36 ust. 1 UODO, w myśl którego administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Ostatnią rzeczą, którą należy wziąć pod uwagę przy opracowaniu opisywanego tutaj rozdziału będzie ustalenie tzw. poziomu bezpieczeństwa. Jest to o tyle istotne, że wyznaczony poziom determinuje środki jakie obligatoryjnie należy zastosować do zabezpieczenia danych osobowych. Rozporządzenie w § 6 przewiduje trzy różne poziomy bezpieczeństwa:
- poziom podstawowy – stosowany, gdy w systemie informatycznym nie są przetwarzane dane wrażliwe (np. stan zdrowia, karalność) oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną np. internetem,
- poziom podwyższony – stosowany, gdy w systemie informatycznym przetwarzane są dane wrażliwe oraz żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną,
- poziom wysoki – stosowany, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Jak łatwo zauważyć, w dzisiejszych czasach, gdzie praktycznie każdy komputer w firmie podłączony jest do internetu, najczęściej do czynienia będziemy mieli z ostatnim z opisanych poziomów. Teraz odszukujemy w Rozporządzeniu załącznik, który w miarę precyzyjnie pokazuje jakie wymogi musi spełnić podmiot przetwarzający dane osobowe. I w gruncie rzeczy to właśnie opis tych środków powinien znaleźć się w tym rozdziale polityki bezpieczeństwa, ale nie tylko. Tak jak wspominałem wcześniej, zabezpieczenia zawsze muszą być adekwatne do zagrożeń i kategorii przetwarzanych danych, a to oznacza, że oprócz środków przewidzianych w załączniku do Rozporządzenia, musimy dobrać także takie środki, które – po dokonaniu analizy ryzyka – będą spełniały postulat zawarty w zasadzie adekwatności (art. 36 ust. 1 UODO).
Przeczytaj także:
![Polityka bezpieczeństwa ochrony danych osobowych]( "Polityka bezpieczeństwa ochrony danych osobowych [© zimmytws-Fotolia.com]")
Polityka bezpieczeństwa ochrony danych osobowych
Polityka bezpieczeństwa ochrony danych osobowych
oprac. : Michał Sztąberek / iSecure
Więcej na ten temat:
przetwarzanie danych osobowych, dane osobowe, ochrona danych osobowych, UODO, zbiory danych osobowych
Przeczytaj także
-
![Rosną obawy o bezpieczeństwo danych osobowych]( "Rosną obawy o bezpieczeństwo danych osobowych [© Jakub Jirsák - Fotolia.com]")
Rosną obawy o bezpieczeństwo danych osobowych
-
![UODO: kary za brak zgłoszenia naruszenia ochrony danych osobowych]( "UODO: kary za brak zgłoszenia naruszenia ochrony danych osobowych [© sergign - Fotolia.com]")
UODO: kary za brak zgłoszenia naruszenia ochrony danych osobowych
-
![Retencja danych osobowych pracowników - jak ją prowadzić?]( "Retencja danych osobowych pracowników - jak ją prowadzić? [© Jakub Jirsák - Fotolia.com]")
Retencja danych osobowych pracowników - jak ją prowadzić?
-
![Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu?]( "Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu? [© Warakorn - Fotolia.com]")
Wrażliwe dane osobowe abonentów muszą być przekazywane do GUS. W jakim celu?
-
![Kary za naruszanie przepisów RODO są wysokie]( "Kary za naruszanie przepisów RODO są wysokie [© Krzysztof - Fotolia.com]")
Kary za naruszanie przepisów RODO są wysokie
-
![Facebook ukarany grzywną w wysokości 1,2 miliarda euro]( "Facebook ukarany grzywną w wysokości 1,2 miliarda euro [© pixabay.com]")
Facebook ukarany grzywną w wysokości 1,2 miliarda euro
-
![Sharenting, czyli jak narażasz swoje dziecko na kradzież tożsamości]( "Sharenting, czyli jak narażasz swoje dziecko na kradzież tożsamości [© pixabay.com]")
Sharenting, czyli jak narażasz swoje dziecko na kradzież tożsamości
-
![Wysyłka firmowych kartek świątecznych. Co na to RODO?]( "Wysyłka firmowych kartek świątecznych. Co na to RODO?")
Wysyłka firmowych kartek świątecznych. Co na to RODO?
-
![Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice?]( "Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice? [© pixabay.com]")
Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice?
![Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy? [© 金召 步 z Pixabay]](https://s3.egospodarka.pl/grafika2/rynek-pracy/Chinskie-firmy-zatrudniaja-w-Polsce-Jacy-to-pracodawcy-259418-50x33crop.jpg "Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy? [© 金召 步 z Pixabay]")
Chińskie firmy zatrudniają w Polsce. Jacy to pracodawcy?
