Dane osobowe muszą być przetwarzane w sposób zapewniający ich odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"), a to zgodnie z treścią art. 5 ust. 1 lit. f) RODO.
Zasada bezpieczeństwa przetwarzania danych osobowych wyraża się w tym, że administrator winien zapewnić danym:
- poufność – dane należy chronić przed osobami nieupoważnionymi;
- integralność – należy zapobiegać przypadkowemu lub nieuprawnionemu zmodyfikowaniu, zniszczeniu lub utraceniu danych;
- dostępność – zapewnić należy dostęp do danych jedynie osobom upoważnionym i w odpowiednim momencie.
Poszczególne przepisy RODO, stawiając administratorom pewne wymagania, są de facto przejawem realizacji zasady bezpieczeństwa danych. Do tych wymagań zaliczyć należy:
- rejestrowanie czynności przetwarzania danych;
- powołanie Inspektora Ochrony Danych (niekiedy obligatoryjnie);
- uregulowanie powierzenia danych do przetwarzania w drodze rozbudowanej umowy;
- zakaz transferu danych osobowych poza Europejski Obszar Gospodarczy, a jeśli ma on już miejsce, to na warunkach wskazanych w RODO;
- zgłaszanie naruszeń organowi nadzorczemu.
Przede wszystkim jednak administratorzy są zobowiązani do wdrożenia odpowiednich środków bezpieczeństwa przetwarzania danych w oparciu o przeprowadzoną analizę ryzyka oraz ewentualnie także ocenę skutków dla ochrony danych (DPIA).
Wdrażanie RODO jest zazwyczaj kojarzone z wprowadzaniem zabezpieczeń fizycznych, technicznych oraz organizacyjnych, bowiem faktycznie jest to namacalny przejaw poważnego traktowania wymogów tego rozporządzenia. Pamiętać jednak należy, iż nie jest to jedyny aspekt zgodności z RODO, na co wskazują przywołane wcześniej zasady przetwarzania danych.
Data publikacji: 24.07.2018.