Zabezpieczenia fizyczne danych osobowych – jak je stosować?

Jakie zabezpieczenia fizyczne danych osobowych powinny zostać wdrożone w każdej organizacji?

Jak już wiemy z naszej serii Ocena ryzyka w RODO, kluczową zasadą RODO jest zasada podejścia opartego na ryzyku (ang. risk-based approach).

Oznacza to nic innego, jak konieczność wykonania przez administratora szczegółowych analiz prowadzonych przez siebie procesów przetwarzania danych osobowych.

Kolejnym krokiem po analizie ryzyka, jest zastosowania środków zabezpieczających adekwatnych do oszacowanego ryzyka!

Dzisiaj zastanowimy się w jaki sposób możemy zabezpieczyć fizycznie przetwarzane przez nas dane osobowe.

Zapraszam do lektury!

Co kryje się pod pojęciem zabezpieczenia fizyczne danych osobowych?

Zabezpieczenia fizyczne, to środki mające na celu:

  • zapewnienie odpowiedniego poziomu ochrony pomieszczeń, budynków, sprzętów, nośników informacji i elementów systemów informatycznych przed zagrożeniami środowiskowymi np. ogień, woda, pył, promieniowanie elektromagnetyczne,
  • ochronę przed nieupoważnionym dostępem fizycznym, np. kradzież, włamanie.

Na zabezpieczenia fizyczne składają się:

  • ochrona fizyczna – odpowiednio przygotowani do tego celu ludzie, czyli warty, patrole, portierzy,
  • ochrona techniczna – na którą składają się:
  • zabezpieczenia mechaniczne – szacujące czas jakiego potrzebuje intruz, aby dostać się do wnętrza chronionego pomieszczenia. W tym zakresie mamy do zastosowania drzwi, zamki, kraty, przegrody konstrukcyjne (ściany, stropy), oraz szafki, szafy pancerne, etc.,
  • zabezpieczenia elektroniczne – to przede wszystkim systemy sygnalizujące o włamaniu i napadzie, monitoring wizyjny, kontrola dostępu, sygnalizacja pożaru oraz gaszenia i oddymiania.

Najefektywniejszym rozwiązanym jest zastosowanie zabezpieczeń, które będą ze sobą współdziałać, np. wzmocnienie drzwi powinno być na tyle solidne, aby w przypadku włamania dać możliwość ochronie budynku na pojawienie w odpowiednim momencie na miejscu. Ochrona powinna być powiadomiona o włamaniu za pomocą systemów zabezpieczeń, najlepiej przed tym, jak intruz znajdzie się w chronionym obszarze.

Podsumowując, zabezpieczenia fizyczne chronią dane przed zagrożeniami środowiskowymi i nieupoważnionym dostępem. Ponadto należy pamiętać, że powinny tworzyć z pozostałymi zabezpieczeniami (technicznymi i organizacyjnymi) kompleksowy system ochrony danych osobowych.

e-learning RODO - zabezpieczenia fizyczne danych osobowych

Pokaż swoim pracownikom jak bezpiecznie przetwarzać dane osobowe.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Od czego zacząć?

W pierwszej kolejności należy ustalić listę działań koniecznych do podjęcia.

Poniżej przykładowa lista:

  • Przeprowadzenie audytu mającego na celu wskazanie newralgicznych, pod kątem bezpieczeństwa danych osobowych, obszarów.
  • Przeprowadzenie analizy ryzyka.
  • Dobranie zabezpieczeń stosownie do wartości ryzyka.

Należy zwrócić uwagę, że w trakcie przygotowań do audytu może okazać, się, że będą konieczne do podjęcia jeszcze inne działania, np. związane z profilem działalności naszej organizacji i wymogami innych przepisów prawa niż RODO, ale o tym poniżej.

Jakie zabezpieczenia fizyczne danych osobowych stosować?

Kluczowym przepisem w tym zakresie będzie:

art. 32 ust. 1 RODO "Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)"

Warte podkreślenia jest to, że w przeciwieństwie do wcześniejszych rozwiązań prawnych administratorom nie wskazuje się już konkretnych środków i procedur w zakresie bezpieczeństwa.

Obowiązuje zasada „zrób to sam”, co oznacza, że dobór zabezpieczeń musi być dokonany przez samego administratora. Wybrane przez niego rozwiązania powinny zapewnić wysoki poziom bezpieczeństwa, a przede wszystkim odpowiednią skuteczność.

Za błędny dobór środków zabezpieczających, będzie odpowiadał administrator. Warto więc przejrzeć dotychczas stosowane zabezpieczenia – sprawdzić je i ulepszyć, jeśli zajdzie taka potrzeba. Jeśli mamy w planie nowy proces przetwarzania danych osobowych, należy przeprowadzić analizę ryzyka i na podstawie jej wyników dobrać odpowiednie środki zabezpieczające.

Zabezpieczenia fizyczne kluczowych zasobów

Zabezpieczając fizycznie newralgiczne pod kątem danych osobowych pomieszczania (np. serwerownia, archiwum) należy wziąć pod uwagę m.in.:

  • lokalizację,
  • zastosowanie drzwi o podwyższonej odporności,
  • awaryjne zasilanie,
  • wyższy poziom zabezpieczeń przeciwpożarowych,
  • monitoring środowiska,
  • cichy alarm.

SKD – System Kontroli Dostępu

Jeśli okaże się, że chcemy wdrożyć kontrolę dostępu, musimy ustalić jaki system kontroli będzie odpowiedni dla przetwarzanych danych osobowych. W tym zakresie mamy do wyboru trzy poziomy:

  • Poziom niski – bazujący na pamięci np. PIN,
  • Poziom średni – bazujący na kluczach np. karta chipowa,
  • Poziom wysoki – bazujący na cechach biometrycznych np. skaner siatkówki oka.

Zabezpieczenia fizyczne oparte o biometrię

Należy jednak pamiętać, że zgodnie z art. 22¹ᵇ Kodeksu pracy, tzw. szczególne kategorie danych, w tym dane biometryczne (art. 9 ust. 1 RODO), mogą być przetwarzane:

  • za zgodą osoby ubiegającej się o zatrudnienie bądź pracownika wyłącznie, gdy ich przekazanie następuje z inicjatywy tych osób,
  • wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony.

Dlatego też, ostatni z poziomów zalecamy tylko w przypadku, w którym mamy możliwość powołania się na przepis prawa, np. obiekt jest szczególnie ważny dla bezpieczeństwa i obronności państwa, a także możemy zastosować się do Rozporządzenia Rady Ministrów z 24 czerwca 2003 r. w sprawie obiektów szczególnie ważnych dla bezpieczeństwa i obronności państwa oraz ich szczególnej ochrony.

Kiedy zabezpieczenia wynikają z przepisów prawa?

Kwestia doboru zabezpieczeń fizycznych okazuje się jednak nie taka łatwa. Często mamy w tym zakresie do zastosowania przepisy innych aktów prawnych niż RODO.

Dla przykładu będą to takie akty jak:

Podsumowanie

Dobór zabezpieczeń fizycznych jest istotnym elementem w tworzeniu skutecznego systemu ochrony danych osobowych. To proces, który jest ważny dla administratora ze względu na wykazanie przez niego zgodności z RODO (zasada rozliczalności). To administrator wykazuje w przypadku kontroli, zasadność swoich decyzji w zakresie wybranych środków bezpieczeństwa. To jego obowiązkiem jest wykazanie dlaczego wybrał taki sposób funkcjonowania ochrony fizycznej , taki system monitoringu, czy taką kontrolę dostępu.

Każdy administrator może zastosować inne zabezpieczenia, ponieważ ma swobodę wyboru w tym zakresie, którą zapewnia mu RODO. Nie zapominajmy jednak o innych aktach prawnych. Część z nich opisuje szczegółowe wytyczne, do których ma się zastosować przy przetwarzaniu danych osobowych w określonych przypadkach.

Pamiętajmy też o tym, aby sysytematycznie monitorować i dokonywać przeglądów procesów, w których są przetwarzane dane osobowe. Tylko w ten sposób dobrane zabezpieczenia będą gwaratnować efektywną ochronę.

Wszystkie procedury i zastosowane zabezpieczenia powinny być opisane w Polityce ochrony danych osobowych lub innym analogicznym do niej dokumnecie.

Pobierz artykuł - zabezpieczenia fizyczne danych osobowych

Pobierz artykuł w PDF

 

Źródła:

 

Powiązane artykuły

10 najczęstszych RODO błędów na stronie internetowej
Zasady pracy zdalnej a RODO – poradnik
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO