Prawidłowa identyfikacja zagrożeń
PRAWIDŁOWA IDENTYFIKACJA ZAGROŻEŃ POZWALA NA WŁAŚCIWY DOBÓR ŚRODKÓW BEZPIECZEŃSTWA
Dostosowanie operacji przetwarzania poprzez przeprowadzenia analizy ryzyka w celu oszacowania jego właściwego poziomu, wdrożenie odpowiednich środków technicznych i organizacyjnych dla zapewnienia zdolności do szybkiego przywrócenia dostępu do danych w razie incydentu oraz zapewnienia ich regularnego testowania, mierzenia i oceniania skuteczności – zapewnia bezpieczeństwo przetwarzania danych w organizacji.
Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność, integralność, dostępność”).
Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, stanowi fundament prawnej ochrony danych osobowych. RODO nie narzuca konkretnych działań, które należy podjąć, aby zapewnić bezpieczeństwo danych, pozostawiając w tej materii swobodę administratorowi danych.
Konkretyzując zasadę poufności należy pamiętać, że administrator powinien wdrażać odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Ustalenie ich jest procesem dwuetapowym. W pierwszej kolejności kluczowe jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, a w dalszej kolejności należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Administrator nie powinien korzystać z oprogramowania, które straciło wsparcie producenta. Trzeba pamiętać, iż w takich przypadkach dla wykorzystywanego systemu nie są wydawane aktualizacje oprogramowania oraz zabezpieczeń i poprawek. Brak wbudowanych oraz aktualizowanych zabezpieczeń zwiększa w szczególności ryzyko podatności na infekcję za pomocą złośliwego oprogramowania oraz ataków poprzez powstawanie nowych luk w zabezpieczeniach.
Nie przeprowadzanie analizy ryzyka, brak identyfikacji zagrożeń i nie wprowadzanie odpowiednich środków organizacyjnych i technicznych prowadzi do naruszenia ochrony danych osobowych poprzez przełamanie zabezpieczeń systemu informatycznego administratora wykorzystywanego do przetwarzania danych osobowych, a w konsekwencji zaszyfrowanie przetwarzanych w nim danych z wykorzystaniem złośliwego oprogramowania.
W wewnętrznej instrukcji zarządzania systemami informatycznymi powinny być zdefiniowane zasady sporządzania kopii zapasowych i weryfikacji poprawności ich sporządzania oraz wskazane jest opracowanie procedur szybkiego przywracania dostępności do danych.