Obowiązek zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych

Administrator i podmiot przetwarzający, mają obowiązek zapewnić odpowiedni stopień bezpieczeństwa danych osobowych. W tym celu, zobowiązani są wdrożyć odpowiednie środki techniczne i organizacyjne.

Czynniki uwzględniane przy ocenie właściwości środka

Muszą oni zatem dokonać oceny, jakie środki ochrony danych będą właściwe. Przy dokonywaniu jej, mają uwzględniać:

1) stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania; oraz

2) ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Przykłady mogących znaleźć zastosowanie środków

Przykładami, mogących znaleźć zastosowanie środków, są:

1) pseudonimizacja i szyfrowanie danych osobowych;

2) zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

3) przywracanie dostępności danych w razie incydentu fizycznego lub technicznego;

4) regularne testowanie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ryzyko związane z przetwarzaniem

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem. Zagrożenia, które należy wziąć zwłaszcza pod uwagę, to ryzyko:

1) przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub modyfikacji danych osobowych; oraz

2) nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Domniemanie prawne spełnienia obowiązku

Wywiązywanie się z obowiązku, można wykazać poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji. Wtedy, zastosowanie jednego z tych dwóch środków, będzie wystarczającym dowodem na dopełnienie wymogu zapewnienia odpowiedniego stopnia bezpieczeństwa danych osobowych.

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Przetwarzanie tylko na polecenie administratora

Każda osoba fizyczna działająca z upoważnienia ADO lub procesora, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora.

Administrator oraz procesor, mają obowiązek podjąć działania w celu zapewnienia przestrzegania tego nakazu.

Prawo Unii lub prawo państwa członkowskiego, może przewidzieć wyjątki od tej sytuacji. Wtedy taka osoba fizyczna, przetwarza dane osobowe bez zgody ADO.

Related Post