Jak mam zapewnić właściwe zabezpieczenie przetwarzanych danych?

To, jakie kroki należy podjąć w Twojej firmie/organizacji, żeby zabezpieczyć dane osobowe, będzie zależało od różnych czynników, np. od rodzaju przetwarzanych danych, od ich ilości i stopnia wrażliwości, od złożoności Twojej infrastruktury informatycznej, a także od tego, czy dysponujesz wiedzą z zakresu bezpieczeństwa w swojej organizacji, czy też decydujesz się na outsourcing zabezpieczeń. Jednak już na podstawowym poziomie warto podjąć następujące kroki.

  • Ustal, jakie dane przetwarzasz i gdzie je przechowujesz.
  • Przeprowadź analizę ryzyka, wskazując najbardziej prawdopodobne źródła nieautoryzowanego dostępu do danych i wycieków.
  • Wprowadź w życie oparty na analizie ryzyka plan działania, w którym opisane będą zasady: minimalizacji danych (zbieraj, przetwarzaj i przechowuj tylko te dane, których naprawdę potrzebujesz); kontroli dostępu (ogranicz to, kto ma dostęp do danych osobowych); bezpiecznego przechowywania (ustal, gdzie przechowujesz dane osobowe, w tym dane wrażliwe, oraz czy są przechowywane w innym miejscu niż dane nieosobowe/niewrażliwe); higieny korzystania przez zespół z urządzeń i usług cyfrowych; zatrzymywania, archiwizacji i usuwania danych.
  • Przetestuj bezpieczeństwo systemów, w których przechowujesz dane osobowe (serwery, pocztę e-mail, archiwa itp.).
  • Spisz wszystkie działania podjęte w celu zabezpieczenia przetwarzanych przez Ciebie danych osobowych.
  • Ustal i przetestuj plan działania na wypadek wycieku. Plan powinien zawierać opis ról i podział odpowiedzialności, procedurę zgłaszania wycieku do Urzędu Ochrony Danych Osobowych itd.
  • Zaplanuj okresowe powtarzanie powyższych kroków.

Czy trzeba stosować protokół HTTPS, żeby spełnić wymogi RODO? Nie, wprowadzenie protokołu HTTPS na stronie internetowej nie jest obowiązkowe, ale na pewno jest dobrą praktyką (rekomendowaną przez organy nadzorcze). Aby dowiedzieć się więcej o HTTPS, odwiedź stronę Lets Encrypt: https://letsencrypt.org.