Czy pojawią się nowe wymagania związane z odpowiedzialnością, bezpieczeństwem i powiadamianiem o naruszeniach ochrony?

ransom-recap-440x301Rozporządzenie GDPR nakłada na wszystkie przedsiębiorstwa i instytucje obowiązek wdrożenia różnorodnych środków, których celem jest ograniczenie ryzyka naruszenia przepisów i stworzenie właściwych mechanizmów nadzoru nad danymi. Obejmuje to środki związane z odpowiedzialnością, na przykład ocenę skutków dla ochrony danych, audyty, przeglądy polityk, rejestrowanie działań, a także ewentualne powołanie administratora bezpieczeństwa informacji.

Przedsiębiorstwa i instytucje muszą wdrożyć odpowiednie środki techniczne i organizacyjne, jeśli chcą wykazać, że rozpatrzyły kwestie związane ze zgodnością z przepisami i uwzględniły je w działaniach związanych z przetwarzaniem. W szczególności wspomniano o zastosowaniu właściwych procedur dotyczących personelu, a także o pseudonimizacji, czyli technice zwiększania ochrony danych, w której osobno przechowuje się informacje umożliwiające przypisanie danych konkretnej osobie.

W przypadku wystąpienia incydentu zdefiniowanego jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” nowe zasady powiadamiania o naruszeniach nakazują administratorom danych zgłoszenie takiej sytuacji organowi nadzorczemu „bez zbędnej zwłoki”. Organ nadzorczy może nakazać administratorowi danych zawiadomienie osób, których naruszenie dotyczy.

Administratorzy danych i podmioty przetwarzające dane powinny zatem opracować lub zaktualizować wewnętrzne procedury powiadamiania o naruszeniach ochrony, co obejmuje także systemy identyfikacji incydentów i plany reagowania na incydenty. Takie procedury powinny być poddawane regularnym testom i przeglądom.

Zobacz również:

Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *