Wymogi dla systemów informatycznych przetwarzających dane osobowe

Niewiele ponad dwa tygodnie pozostały nam do wejścia w życie nowych przepisów o ochronie danych osobowych. Przyjęte przez Parlament Europejski w kwietniu 2016 r. Ogólne Rozporządzenie o Ochronie Danych zwane u nas Rozporządzeniem o Ochronie Danych Osobowych (RODO) zacznie obowiązywać z dniem 25 maja 2018 roku.
Prawnicy aktywnie wspierają swoich klientów w dostosowaniu wymogów formalnych do nowych przepisów. Przygotowanie odpowiednich wzorów klauzul informacyjnych, pytań o zgody na przetwarzanie danych osobowych oraz umów powierzenia bądź udostępnienia danych to jednak nie wszystko. Istotne bowiem jest, aby wraz z działaniami formalno-prawnymi dostosować do nowych realiów infrastrukturę techniczną. I tutaj często pojawia się pytanie, na które prawnicy nie potrafią odpowiedzieć: „jakie wymogi musi spełniać infrastruktura IT, aby uznać ją za zgodną z zapisami RODO”? Problem ten wynika z faktu, iż w przeciwieństwie do „starej” Ustawy o Ochronie Danych Osobowych nowe regulacje nie wskazują konkretnych wymogów technicznych. W całym Rozporządzeniu pojawiają się jedynie ogólne przesłanki dotyczące bezpieczeństwa infrastruktury. Jak się zatem do nich dostosować? Postaramy się pomóc Państwu znaleźć odpowiedź na to pytanie.

Jakie zatem są te ogólne wymagania? Najwięcej na ten temat mówi Artykuł 32 RODO, w którym określono, iż administrator danych osobowych wdraża odpowiednie środki techniczne aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku. Zwraca się m.in. uwagę na rozwiązania takie jak:

  • Szyfrowanie danych osobowych
  • Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych mających zapewnić bezpieczeństwo przetwarzania

Continue…

RODO, prawo do bycia zapomnianym a systemy backupu

Jak już Państwo zapewne doskonale wiecie, w dniu 25 maja 2018r. wchodzą w życie nowe przepisy o ochronie danych osobowych – tzw. RODO. Jedną ze zdefiniowanych w rozporządzeniu nowości jest przysługujące osobom, których dane przetwarzamy prawo do „bycia zapomnianym”. Definiuje je artykuł 17 RODO, którego treść jest następująca:

Artykuł 17

Prawo do usunięcia danych („prawo do bycia zapomnianym”)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Żądanie klienta, które z pozoru wydaje się proste do zrealizowania budzi jednak pewne wątpliwości. Administratorzy systemów backupu zwracają bowiem uwagę na fakt, że usunięcie pojedynczego rekordu danych osobowych z kopii archiwalnej, która jest przechowywana na zewnętrznym nośniku, czasem w zewnętrznej lokalizacji i z Continue…