Zgodnie z wymaganiami RODO Administrator danych osobowych (ADO) jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ewentualnemu ryzyku związanemu z bezpieczeństwem ich przetwarzania.
Ta dość elastyczna formuła wymaga od ADO niezwykłej przenikliwości, aby ocenić, kiedy i jakie rozwiązania techniczne zastosować.
Jednakże z punktu widzenia Urzędu Ochrony Danych Osobowych nie wystarczy jedynie ich wprowadzenie, ale trzeba również dokonywać regularnych i kompleksowych testów, pomiarów i oceny ich skuteczności. Przy czym w ocenie Urzędu tego rodzaju działania nie mogą być podejmowane tylko wówczas, gdy pojawiło się ryzyko zaistnienia ewentualnych naruszeń albo w sytuacji zmian organizacyjnych podmiotów, które wymuszają weryfikację istniejących zabezpieczeń. Zwłaszcza, na co zwraca uwagę Urząd, incydentalne kontrole są niewystarczające w przypadku podmiotów, które przetwarzają dane osobowe, także w ramach współadministrowania, korzystając z rozwiązań IT, w tym m.in. aplikacji na telefon, także związanych z obsługą płatności.
Jak stwierdził Urząd w ramach jednego z prowadzonych postępowań na ADO ciąży nie tylko obowiązek dbania o sprawność wewnętrznych zabezpieczeń, ale również jest on zobowiązany do weryfikacji czy zewnętrzne podmiot dostarczający rozwiązania techniczne, w przedmiotowej sprawie program rejestracyjny klientów usług prepaid, gwarantuje, że dane osobowe klientów faktycznie wpłynęły do uprawnionego podmiotu.
Komentarze