W artykule kontynuujemy wyjaśnianie zasad przetwarzania danych osobowych opisanych w artykule 5 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).
Szóstą zasadą ogólną jest zasada odpowiedniego zabezpieczenia przetwarzanych danych, zapewnienia integralności i poufności danych. W myśl przepisu ust. 1 lit. f komentowanego artykułu, dane powinny być „przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”. Zabezpieczenie danych stanowi jeden z istotnych elementów ochrony danych. Niekiedy te dwa określenia (zabezpieczenie i ochrona) są z sobą utożsamiane i stosowane zamiennie. Nie jest to jednak właściwe, gdyż zabezpieczenie jest pojęciem węższym i dotyczy technicznego i organizacyjnego aspektu szeroko rozumianej ochrony danych osobowych.
Podniesienie kwestii dotyczących zabezpieczenia danych do rangi ogólnej zasady świadczy o tym, że prawodawca unijny uznaje te zagadnienia za niezwykle ważne i nakazuje traktować je w sposób szczególny. Zapewnienie odpowiedniego bezpieczeństwa wymaga podjęcia stosownych (proporcjonalnych) środków zabezpieczenia danych.
Nie muszą to być środki najlepsze z możliwych (najdroższe, najbardziej zaawansowane technologicznie), powinny jednak być odpowiednie do zagrożeń i pozwalać na zapewnienie skutecznej ochrony. Przepis wskazuje w sposób ogólny, przed czym administrator powinien się zabezpieczyć: przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
Zabezpieczenia mogą mieć różny charakter. Najogólniej rzecz ujmując, można podzielić je na zabezpieczenia o charakterze technicznym i organizacyjnym.
Do zabezpieczeń technicznych zaliczyć można m.in. zamki w drzwiach, zabezpieczenia dostępu do systemów informatycznych, zabezpieczenia kryptograficzne i wiele innych.
Do zabezpieczeń natury organizacyjnej zaliczyć można m.in. określenie obszaru przetwarzania danych, wydzielenie odpowiednich stref dostępu, ustanowienie zasad organizacji pracy, upoważnienia do przetwarzania itp.
Bardziej szczegółowe normy dotyczące zabezpieczenia przetwarzanych danych są przedmiotem regulacji w przepisach sekcji 2 w rozdziale IV, w szczególności w art. 32 rozporządzenia. Skutkiem niewłaściwego zabezpieczenia może być naruszenie bezpieczeństwa danych, które pociąga za sobą obowiązki określone w przepisach art. 33 i 34 rozporządzenia, dotyczące zgłaszania naruszeń organowi nadzorczemu, prowadzenia rejestru naruszeń oraz zawiadamiania osób, których dane dotyczą, o naruszeniu ochrony danych.
Z zasadą zapewnienia integralności i poufności danych ściśle wiąże się wymóg uwzględniania ochrony danych w fazie projektowania, określony w art. 25 ust. 1.
Zgodnie z tym przepisem administrator powinien – uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdrażać odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą. Najogólniej rzecz ujmując, chodzi o to, aby ochrona danych realizowana była już od chwili planowania przetwarzania, na wszystkich etapach procesu przetwarzania, oraz była istotną częścią tych procesów, a nie jedynie dodatkiem.
