Techniczne i organizacyjne środki ochrony danych gwarantują bezpieczeństwo ochrony danych. Środki ochrony danych pozwalają zredukować ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
RODO wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności:
- Pseudonimizacja i szyfrowanie danych osobowych.
- Zdolność do ciągłego zapewnienia poufności, integralności, dostępności
i odporności systemów i usług przetwarzania. - Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do niech w razie incydentu fizycznego lub technicznego.
- Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych
i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Pojęcie oparte na ryzyku zakłada, że każdy kto wykonuje operacje na danych osobowych podejmuje świadomą decyzję o stosowanych środkach zabezpieczenia. Taki podmiot zgodnie z art. 32 RODO ponosi odpowiedzialność w przypadku naruszenia bezpieczeństwa danych osobowych. Dlatego tak ważne jest dobranie odpowiednich środków bezpieczeństwa. Należy pamiętać, że zadaniem administratora danych jest regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Środki ochrony danych:
Techniczne środki ochrony danych osobowych, np.:
- drzwi antywłamaniowe;
- czujniki ruchu;
- monitoring wizyjny;
- oprogramowanie antywirusowe.
Organizacyjne środki ochrony danych osobowych, np.:
- polityki bezpieczeństwa np. polityka czystego biurka, polityka czystego ekranu,
- procedury postępowania, np. procedura korzystania z Internetu, procedura korzystania z poczty elektronicznej, procedura niszczenia, procedura korzystania z urządzeń mobilnych.
- szkolenia;
- testy sprawdzające wiedzę pracowników z zakresu ochrony danych osobowych.