Art. 24 ust. 1 RODO mówi o tym, że powinniśmy stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć dane osobowe.
To na administratorze ciąży obowiązek samodzielnego określenia, jakie środki zabezpieczenia przetwarzanych danych i informacji powinien wdrożyć. Dzieli się je głównie na 3 elementy:
- Zabezpieczenia IT
- Zabezpieczenia fizyczne
- Zabezpieczenia organizacyjne
Przykłady:
- Zabezpieczenia informatyczne nie są wskazane przez przepisy RODO, mówi jedynie że należy stosować adekwatne środki bezpieczeństwa do przetwarzanych danych. Do tych zabezpieczeń zaliczyć należy wszelkiego rodzaju oprogramowanie antywirusowe oraz firewalle, szyfrowanie dysków, zabezpieczanie hasłami, etc.
- Zabezpieczenia fizyczne stawiamy osobom nieuprawnionym aby nie miały dostępu do danych osobowych. To nie tylko drzwi i szafy zamykane na klucz ale również niszczarki i monitoring.
- Zabezpieczenia organizacyjne to przede wszystkim procedury postępowania w sytuacjach związanych z przetwarzaniem danych, które powinny być napisane w sposób zrozumiały dla szarego pracownika. Oprócz procedur przykładami zabezpieczeń organizacyjnych są upoważnienia do przetwarzania nadane przez administratora oraz ich ewidencja, opracowana i wdrożona polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi, przeszkolenie pracowników z zakresu przepisów RODO oraz w zakresie zabezpieczeń IT.