Zasada integralności i poufności w RODO

BySylwia Ostrowska

zasada integralności

Art. 5 ust. 1 lit. f) RODO mówi, że — „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)”.

Gwarancja zapewnienia przetwarzanym danym odpowiedniej ochrony i poufności powinna być oczywista dla każdego przedsiębiorstwa. Pewną trudnością może być wykazanie zastosowanych środków technicznych i organizacyjnych za pomocą których zapewnia się odpowiednie bezpieczeństwo danych osobowych. Z pomocą może przyjść art. 32 RODO, który wskazuje środki jakie można wykorzystać w celu bezpieczeństwa przetwarzania, a są to:

  • pseudonimizacja i szyfrowanie danych;
  • zdolność do ciągłego zapewnienia poufności;
  • integralność;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
  • dostępności i odporności systemów i usług przetwarzania.
Zasada Integralności przetwarzania danych

Integralność stanowi cechę charakterystyczną dla bezpieczeństwa informacji, która powinna zagwarantować, że przetwarzane dane nie ulegną przekształceniu zgodnie z planem i przeznaczeniem. Także na zachowaniu ich dokładności, wiarygodności i zabezpieczeniu tak aby nie zmieniono ich usunięto lub dodano w sposób nieformalny.

Poufność przetwarzania danych

Poufność ma zapewniać, że przetwarzane dane chroni się przed nieuprawnionym dostępem, tj. przed ujawnianiem lub udostępnianiem nieuprawnionym osobom lub innym podmiotom. Zapewnienie poufności uwzględnia wykluczenie dostępu dla osób z organizacji jaki i osób z zewnątrz.

Administrator, a zasada integralności i poufności

Zasady integralności i poufności nakładają na administratora danych obowiązek przetwarzania danych w sposób gwarantujący odpowiedni poziom bezpieczeństwa. Zasada integralności odnosi się do obowiązku zapewnienia, że dane nie zostały zmodyfikowane, usunięte, dodane czy zniszczone w sposób nieautoryzowany. Z kolei zgodnie z zasadą poufności należy zapobiegać sytuacjom, w których dane osobowe są udostępniane lub ujawniane nieautoryzowanym podmiotom czy procesom. Obie zasady wymagają dokonania analizy ryzyka właściwego dla przetwarzania danych i charakteru danych podlegających ochronie. Następnie dostosowania i wdrożenia odpowiednich środków technicznych zapewniających zachowanie integralności i poufności danych.

Zapewnienie poufności i integralności może prowadzić do naruszeń ochrony danych np.:
  • dotyczące poufności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego ujawnienia lub nieuprawnionego dostępu do danych osobowych;
  • naruszenie dotyczące integralności danych – naruszenie, w rezultacie którego dochodzi do nieuprawnionego lub przypadkowego zmodyfikowania danych osobowych.
Naruszenie poufności np:
  • Pracownik administratora omyłkowo przesyła skan zawartej z klientem umowy do osoby nieuprawnionej (błędny adres e-mail);
  • Pozostawienie niezaszyfrowanego laptopa/ komórki w kawiarni.
Naruszenie integralności np:
  • Zainstalowanie złośliwego oprogramowania na komputerze, które spowodowało błędy w posiadanej dokumentacji.

W przestrzeganiu poufności i integralności danych istotne będą systemy służące do kontroli dostępu. W obszarze bezpieczeństwa fizycznego jak o teleinformatycznego. Opracowanie odpowiednich procedur przechowywania i przekazywania danych osobowych, poprzez dostosowywanie odpowiednich środków technicznych.

Naruszenie poufności danych może wystąpić w momencie, gdy dojdzie do nieuprawnionego ujawnienia lub udostępnienia danych. Z naruszeniem integralności danych będziemy mieć do czynienia w momencie, gdy nastąpi nieuprawniona lub przypadkowa ich modyfikacja. Obie te formy mogą przyczynić się do nałożenia kary przez Urząd Ochrony Danych Osobowych, co mogą Państwo potwierdzić zapoznając się z decyzją Prezesa UODO: https://uodo.gov.pl/pl/327/1898