Spis treści

Artykuł 32 - Bezpieczeństwo przetwarzania
  1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku:
    1. pseudonimizację i szyfrowanie danych osobowych;
    2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  2. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
  3. Wywiązywanie się z obowiązków, o których mowa w ust. 1 niniejszego artykułu, można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.
  4. Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
GDPR Risk Tracker - bezpieczeństwo przetwarzania

Artykuł 32 RODO nakłada na administratorów danych osobowych oraz podmioty przetwarzające obowiązek wprowadzenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa danych osobowych, w celu ochrony przed naruszeniem bezpieczeństwa i zagrożeniami dla poufności, integralności oraz dostępności przetwarzanych danych osobowych. Administratorzy i podmioty przetwarzające mogą zastosować różnorodne zabezpieczenia, które będą uzależnione m.in. od konkretnego charakteru, zakresu, kontekstu i celów przetwarzania.

Aplikacja GDPR Risk Tracker posiada gotową listę zabezpieczeń odpowiadającym wszystkim wybranym przez użytkownika zagrożeniom. Do zagrożeń przypisane są również zasoby oraz ryzyka, które te zagrożenia mogą spowodować. Lista zasobów została przygotowana zgodnie z normą ISO 29134. Lista zasobów jest pełna, ale możliwe jest jej rozszerzenie w oparciu o indywidualne potrzeby. Użytkownik z dostępnych zabezpieczeń (środków) wybiera te, które stosuje w swojej organizacji i przypisuje im odpowiednią wartość w 4-ro stopniowej skali oceny. Wybrane przez użytkownika zabezpieczenia będą wpływały na obniżenie poszczególnych ryzyk. Dzięki temu każda osoba korzystająca z aplikacji GDPR Risk Tracker może samodzielnie ocenić, czy zastosowane zabezpieczenia są wystarczające, jak je poprawić i w jakich obszarach należy podnieść jakość i skuteczność zabezpieczeń.