Wymagania dotyczące zastosowania środków kontroli i bezpieczeństwa oraz stopień ich wypełnienia

 

Jeżeli nie mamy Inspektora Ochrony Danych oraz brakuje specjalisty od RODO to możemy skorzystać z podręcznika UODO: Jak stosować podejście oparte na ryzyku? cz 2. W nim znajdziemy krok po kroku zapisy co mamy zrobić aby wdrożyć RODO w firmie. I tak odnośnie zabezpieczeń:

zabezpieczeń organizacyjnych, tj. środków organizacyjnych oraz wymagań dotyczących polityki zarządzania procesem przetwarzania, w tym zastosowanych procedur:

- zarządzania projektem,

- zarządzania incydentami,

- zarządzania personelem,

- zarządzania udziałem stron trzecich, w tym podmiotów przetwarzających,

- zarządzania eksploatacją używanych systemów i innych narzędzi przetwarzania danych,

- sposobu nadzoru, w tym audytów i raportowania alertów.

środków kontroli logicznej procesu przetwarzania, w tym wymagań dotyczących zastosowania takich środków ochrony, jak:

- anonimizacja i pseudonimizacja,

- środki ochrony kryptograficznej,

- środki kontroli integralności danych,

- środki kontroli dostępu do danych,

- środki kontroli dotyczące rozliczalności wykonywanych operacji,

- środki wspierające weryfikację danych na etapie ich wprowadzania, typu: zgodność z wzorcem, podanymi wartościami granicznymi itp.,

- środki bieżącego monitoringu,

- zastosowane środki ochrony przed działaniem oprogramowania szkodliwego typu wirusy, środki szpiegujące, środki służące ochronie przed wykradaniem danych itp.

- środki ochrony sieci przed działaniem osób z zewnątrz. 

środków ochrony fizycznej wszystkich aktywów informacyjnych i technicznych, w tym:

- dotyczących miejsca przetwarzania danych, takich jak: ukształtowanie terenu (np. podatność na powódź, wyładowania atmosferyczne itp.), sąsiedztwo obiektów lub podmiotów, mogących wpływać na bezpieczeństwo, jak np. lotnisko, stacja paliw, zakłady przetwórstwa chemicznego itp.,

- środków bezpieczeństwa infrastruktury technicznej wykorzystywanej do przetwarzania danych,

- środków bezpieczeństwa dokumentacji papierowej, w tym papierowych rejestrów zawierających dane osobowe,

- środków bezpieczeństwa związanych z przepływem informacji w postaci dokumentów papierowych lub nośników elektronicznych,

- środków ochrony przed żywiołami niezależnymi od człowieka, typu ogień, woda.

Zawsze później można zlecić monitoring całości lub najbardziej niepokojącego nas fragmentu zewnętrznemu specjaliści, który podpowie, czy jest dobrze czy też co należy poprawić. Jest to tańsza forma wdrożenia RODO i na pewno ekonomiczniejsza dla większości małych i średnich firm.