Regulacje prawne a szyfrowanie danych

News

Już dawno uznano, że regulacje prawne muszą iść w parze z rozwiązaniami technologicznymi. Powinny one odzwierciedlać aktualne uwarunkowania technologiczne oraz globalne przetwarzanie danych osobowych.

Niestety, okazuje się, że aktualne rozwiązania prawne w ogóle nie uwzględniają kwestii przetwarzania danych w tak zwanej chmurze obliczeniowej. W efekcie nie zapewniają bezpieczeństwa tych operacji, które polegają na przetwarzaniu danych osobowych. Brak nowoczesnych regulacji dotyczących wymogów technicznych i organizacyjnych nie zwalnia jednak z konieczności nieustannego monitorowania oraz oceniania pojawiających się zagrożeń. Zobowiązane są do tego wszystkie podmioty, które zajmują się przetwarzaniem danych osobowych. Jeśli chodzi o monitoring, to musi on obejmować także skuteczność zastosowanych środków przeciwdziałania zagrożeniom. Konieczność weryfikowania zabezpieczeń, a także ich zmian zależne są w związku z tym od uwarunkowań, które zmieniają się w sposób niezwykle dynamiczny.

Definicja zawarta w art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) mówi, że dane osobowe to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”.

Kim jest natomiast administrator danych osobowych?

To podmiot, który w ramach prowadzonej przez siebie działalności zarobkowej, zawodowej bądź dla realizacji celów statutowych wykonuje takie czynności, jak zbieranie, utrwalanie, przechowywanie, udostępnianie, zmienianie oraz usuwanie danych osobowych (przetwarzanie danych osobowych). Definicję tą można znaleźć w artykule 7 wspominanej ustawy. Zgodnie z artykułem 36 ustawy o ochronie danych osobowych administrator ma obowiązek prowadzić dokumentację, w której musi znaleźć się opis sposobu, w jaki przetwarzane są dane, a także opis środków zarówno technicznych, jak i organizacyjnych, które danym tym mają zapewnić ochronę.

Ten sam artykuł mówi,że obowiązkiem administratora danych jest ich należyte zabezpieczenie przed ujawnieniem nieuprawnionym.