Rozporządzenie GDPR nakłada na wszystkie przedsiębiorstwa i instytucje obowiązek wdrożenia różnorodnych środków, których celem jest ograniczenie ryzyka naruszenia przepisów i stworzenie właściwych mechanizmów nadzoru nad danymi. Obejmuje to środki związane z odpowiedzialnością, na przykład ocenę skutków dla ochrony danych, audyty, przeglądy polityk, rejestrowanie działań, a także ewentualne powołanie administratora bezpieczeństwa informacji.
Przedsiębiorstwa i instytucje muszą wdrożyć odpowiednie środki techniczne i organizacyjne, jeśli chcą wykazać, że rozpatrzyły kwestie związane ze zgodnością z przepisami i uwzględniły je w działaniach związanych z przetwarzaniem. W szczególności wspomniano o zastosowaniu właściwych procedur dotyczących personelu, a także o pseudonimizacji, czyli technice zwiększania ochrony danych, w której osobno przechowuje się informacje umożliwiające przypisanie danych konkretnej osobie.
W przypadku wystąpienia incydentu zdefiniowanego jako „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” nowe zasady powiadamiania o naruszeniach nakazują administratorom danych zgłoszenie takiej sytuacji organowi nadzorczemu „bez zbędnej zwłoki”. Organ nadzorczy może nakazać administratorowi danych zawiadomienie osób, których naruszenie dotyczy.
Administratorzy danych i podmioty przetwarzające dane powinny zatem opracować lub zaktualizować wewnętrzne procedury powiadamiania o naruszeniach ochrony, co obejmuje także systemy identyfikacji incydentów i plany reagowania na incydenty. Takie procedury powinny być poddawane regularnym testom i przeglądom.
Zobacz również:
- /2016/11/04/jakie-prawa-przyznaje-osobom-fizycznym-rozporzadzenie-gdpr/
- /2016/10/31/zasady-leza-u-podstaw-rozporzadzenia-gdpr/
- /2016/10/27/zakres-ogolnego-rozporzadzenia-o-ochronie-danych-nowe-pojecia-sa-nim-wprowadzane/#more-579
Autor: Michał Jarski, Regional Sales Director CEE, Trend Micro