Pod koniec maja przyszłego roku zaczną obowiązywać, między innymi w naszym kraju, unijne przepisy o ochronie danych osobowych. Po ponad dwuletnim vacatio legis nie będzie taryfy ulgowej dla przedsiębiorców żadnego kalibru. Dlatego lepiej już dzisiaj przyjrzeć się nowym regulacjom i sobie samemu – pod kątem przygotowania do innej rzeczywistości prawnej.
Zadaliśmy ludziom w biurze prasowym Generalnego Inspektora Ochrony Danych Osobowych kilka pytań – istotnych z punktu widzenia warsztatu oraz sklepu z częściami samochodowymi. Odpowiedzi udzielone przez pracujących tam urzędników były na tyle obszerne, że z czystym sumieniem możemy naszych czytelników zaprosić na cykl artykułów zawierających sowitą dawkę informacji na temat nadchodzących zmian w prawie. Zaczynamy od odpowiedzi na poniższe pytanie.
W jaki sposób warsztat lub sklep z częściami zamiennymi do aut powinien się zabezpieczyć/co zrobić przed wejściem w życie RODO? Dowiedzieliśmy się, że nie ma konkretnych instrukcji, jak zabezpieczyć dane?
I jedne, i drugie podmioty muszą wziąć pod uwagę to, że choć podstawowe rozwiązania ogólnego rozporządzenia o ochronie danych osobowych trudno uznać za rewolucyjne, o tyle zaprezentowane w tym dokumencie podejście do ich praktycznego zastosowania jest już pewną rewolucją.
Nie zmieniają się bowiem w sposób istotny podstawy prawne czy zasady przetwarzania danych osobowych. Jednak rewolucyjny charakter ma wprowadzenie nowych zasad, które zwiększają samodzielność, ale i odpowiedzialność administratorów danych. Do tej zmiany w podejściu do ochrony danych osobowych muszą przygotować się wszyscy administratorzy danych, niezależnie od wielkości.
Zgodnie z rozporządzeniem (art. 5 ust. 1 lit. f), „Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”.
Każdy, kto przetwarza dane osobowe, musi więc wdrożyć odpowiednie środki techniczne i organizacyjne zabezpieczające dane osobowe, tak by uniemożliwić ich nieuprawnione udostępnienie.
Rozporządzenie nie podaje jednak konkretnych przykładów najlepszych rozwiązań. Nie określa też minimalnych standardów technicznych mających na celu zabezpieczenie danych (zachęca jedynie do skorzystania z narzędzi pseudonimizacji czy też szyfrowania danych).
Co istotne, przestanie też obowiązywać rozporządzenie Ministra Spraw Wewnętrznych i Administracji określające warunki techniczne i organizacyjne, jakie muszą spełniać urządzenia i systemy informatyczne wykorzystywane do przetwarzania danych osobowych.
Od 25 maja 2018 r. każdy administrator – biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożeń związanych z tym ryzykiem – będzie musiał samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć.
Jak stanowi art. 32 ust. 1 rozporządzenia, administrator danych w zarządzaniu bezpieczeństwem przetwarzanych danych powinien uwzględnić stan wiedzy technicznej w zakresie zarządzania bezpieczeństwem danych w środowisku, w jakim przetwarza dane, oraz koszty wdrożenia i utrzymania zastosowanych środków.
Przepis ten wskazuje również, że w stosownym przypadku środkami, które należy wdrożyć, aby zapewnić odpowiadający określonym ryzykom stopień bezpieczeństwa, powinny być:
- pseudonimizacja i szyfrowanie danych osobowych;
- środki zapewniające zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- środki zapewniające zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Jak już zostało wspomniane, ogólne rozporządzenie o ochronie danych nie wskazuje jednak konkretnych produktów czy sposobów zabezpieczenia przetwarzanych danych, które wraz z rozwojem nowych sposobów i narzędzi przetwarzania danych, a także stosowanych przez środowiska przestępcze środków i narzędzi do uzyskiwania nieuprawnionego dostępu do danych, ulegają częstym zmianom.
Stąd w art. 32 rozporządzenia zapisano, że podejmując działania w zakresie zapewnienia bezpieczeństwa przetwarzanym danym, administrator danych musi uwzględniać stan wiedzy technicznej w zakresie występowania w określonym środowisku potencjalnych zagrożeń, jak i narzędzi i procedur mających służyć zapewnieniu wymaganego stopnia bezpieczeństwa.
Pomocne w podjęciu decyzji w tym zakresie mogą być takie wskazane w rozporządzeniu instrumenty, jak: zatwierdzane przez GIODO tzw. kodeksy postępowania, a także zatwierdzona certyfikacja, wytyczne Europejskiej Rady Ochrony Danych lub sugestie inspektora ochrony danych.
Źródłem praktycznej i sprawdzonej wiedzy w zakresie budowy i zarządzania środkami bezpieczeństwa są również dobre praktyki przyjęte do stosowania przez określone środowiska, normy krajowe, europejskie lub międzynarodowe oraz zalecenia producentów dostarczających środki przetwarzania danych (systemy informatyczne, bazy danych, aplikacje).
W zakresie norm, źródłem aktualnego stanu wiedzy na temat zarządzania bezpieczeństwem informacji są m.in. następujące normy:
- PN-ISO/IEC 27001:2014 – System zarządzania bezpieczeństwem informacji – Wymagania
- PN-ISO/IEC 27005:2014 – Zarządzanie ryzykiem w bezpieczeństwie informacji
- PN-ISO/IEC 27002:2014 – Praktyczne zasady zabezpieczania informacji
- PN-ISO/IEC 20000-1:2014 – Część 1 – Wymagania dla systemu zarządzania usługami
- PN-ISO/IEC 24762:2010 – Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie (dostarczająca wskazówki dla zapewnienia ciągłości działania – dotyczy wymogu z art. 32 ust. 1 pkt c rozporządzenia).
Źródłem wiedzy w zakresie bezpieczeństwa przetwarzania danych mogą być również zalecenia, wskazówki, rekomendacje i przewodniki opracowywane przez organizacje, stowarzyszenia i instytucje, jak np. dokumenty opracowane przez Europejską Agencję do Spraw Ochrony Informacji i Sieci (ENISA) czy stowarzyszenia, takie jak ISACA (stowarzyszenie osób zajmujących się zawodowo zagadnieniami dotyczącymi audytu, kontroli, bezpieczeństwa oraz innymi aspektami zarządzania systemami informatycznymi), bądź ISSA Polska (Stowarzyszenie do spraw Bezpieczeństwa Systemów Informacyjnych).
W odniesieniu do omawianych kwestii warto zwrócić uwagę na udostępnione w ostatnim okresie przez ISSA Polska dokumenty – „Rekomendacje ISSA” oraz „Bezpieczeństwo IT w kancelarii – Poradnik” dostępne odpowiednio pod adresami:
- https://issa.org.pl/rekomendacje-it-dla-msp/
- https://issa.org.pl/do-pobrania/bezpieczenstwo-it-w-kancelarii.
Ponadto GIODO, chcąc ułatwić administratorom danych przygotowanie się do nadchodzących zmian, na rok przed rozpoczęciem stosowania rozporządzenia przygotował zestaw pytań, który ma pomóc im w ocenie stanu ich przygotowania do stosowania nowego prawa. Każdego dnia, sukcesywnie, do kolejnego z tych pytań dodawane były wyjaśnienia pomocne w dokonywaniu takiej analizy, które złożyły się na cykl informacyjny pt. „Rok do RODO – sprawdzian gotowości”.
Wszystkie te materiały zebrano w zakładce poświęconej aktualnym pracom nad reformą, dostępnej pod linkiem: http://giodo.gov.pl/1520281/.
Komentarze