Zgodnie z RODO – ogólnym rozporządzeniem 2016/679 o ochronie danych osobowych, które wejdzie w życie już 25 maja 2018 r. – to na administratorze i podmiocie przetwarzającym dane osobowe ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych. Założę się, że większość z Was słyszała już to hasło wielokrotnie przy okazji różnego rodzaju informacji na temat RODO. Ale usłyszeć hasło to jedno, a zrozumieć go i wiedzieć co zrobić, aby zapewnić bezpieczeństwo danych to zupełnie inna kwestia. Zatem… co to znaczy „zapewnić bezpieczeństwo przetwarzania danych” zgodnie z RODO? O tym w dzisiejszym tekście z serii #środazRODO.

Po co nam bezpieczeństwo?

Nikt nie lubi, kiedy ktoś bez pytania i pozwolenia nakłada na niego obowiązki. A już z pewnością nie lubią tego osoby twórcze, które wyjątkowo cenią sobie swoją niezależność. Dlatego myśląc o kolejnym obowiązku, który nakłada na nas ustawodawca z pewnością większość z Was czuje w środku opór i ma ochotę zrobić krok w tył. To całkowicie naturalna i zrozumiała reakcją, którą często obserwuję również u siebie 😉 Dlatego w pierwszej kolejności warto odpowiedzieć sobie na pytanie: po co ustawodawca nakłada obowiązek zapewnienia bezpieczeństwa przetwarzania danych?

Wymogi dotyczące wdrożenia odpowiednich rozwiązań technicznych i organizacyjnych – takich, które mają zapewnić bezpieczeństwo danych osobowych są nakładane na administratorów i podmioty przetwarzające dane po to, aby zapewnić skuteczną ochronę danych osobowych nas wszystkich – osób, których dane są zbierane. Każdemu z nas zależy przecież, aby nasze dane osobowe były ważne, szanowane i nie krążyły bezwolnie po sieci, prawda? Dlatego ten konkretny wymóg to sposób na zapewnienie bezpieczeństwa danych nas wszystkich. Pamiętając o tym dużo łatwiej jest nam podejść do obowiązku zapewnienia bezpieczeństwa danych, zgodzicie się ze mną?

Zapewnienie bezpieczeństwa przetwarzania danych w RODO

Pamiętając zatem o tym, że ten obowiązek to jednocześnie sposób na zapewnienie bezpieczeństwa danych nas wszystkich przejdźmy zatem do tego, co dokładnie RODO mówi o obowiązku zapewnienia bezpieczeństwa przetwarzania danych.

Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych został określony w art. 32 RODO, zgodnie z którym:

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 32 RODO).

Przykładami działań, które – według RODO – administrator lub podmiot przetwarzający możne podjąć w celu zapewnienia bezpieczeństwa są:

  • pseudonimizacja i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zapewnienie bezpieczeństwa przetwarzania danych a analiza ryzyka

RODO zaleca administratorowi i podmiotowi przetwarzającemu dokonanie analizy ryzyka, jakie wiąże się z przetwarzaniem danych. Przeprowadzenie tego rodzaju analizy ma pozwolić na dobór środków technicznych i organizacyjnych pozwalających na zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych.

Co należy uwzględnić w praktyce przy dokonywaniu analizy  ryzyka? Zgodnie z RODO przy dokonywaniu analizy należy uwzględnić ryzyko wiążące się z przetwarzaniem danych, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Zapewnienie bezpieczeństwa danych w praktyce

Co istotne, RODO nie narzuca konkretnych działań, które należy podjąć aby zapewnić bezpieczeństwo danych. Nie nakłada – przykładowo – obowiązku zastosowania najbardziej zaawansowanych technologicznie lub najdroższych rozwiązań. RODO „podpowiada” jedynie jakie ryzyka należy uwzględnić, aby administrator lub podmiot przetwarzający na zlecenie mogli samodzielnie dobrać odpowiednie – dla nich i ich biznesu – środki zabezpieczenia danych.

Wybierając odpowiednie środki zabezpieczenia danych RODO nakazuje uwzględnić – obok ryzyka – również takie istotne czynników, jak odpowiedni dla danego podmiotu:

  • stan wiedzy technicznej,
  • koszt wdrażania oraz charakter, zakres, kontekst
  • cele przetwarzania.

To oznacza, że administrator lub podmiot przetwarzający powinien dobrać  zabezpieczenia, uwzględniając zarówno potrzeby, jak i możliwości.

Zapewnienie bezpieczeństwa przetwarzania danych – środki techniczne

We wspomnianym wyżej art. 32 RODO nakazuje zastosować „odpowiednie środki techniczne i organizacyjne”. Czym są odpowiednie „środki techniczne”?

Techniczne środki bezpieczeństwa to rożnego rodzaju rozwiązania o charakterze sprzętowym oraz programowym (m.in. urządzenia, systemy, oprogramowanie), które służą zapewnieniu odpowiedniego poziomu bezpieczeństwa danych. Mogą one mieć charakter podstawowych zabezpieczeń fizycznych (przykładowo –  zamek w drzwiach, system alarmowy) bądź logicznych (na przykład oprogramowanie szyfrujące).

Jako przykłady środków technicznych RODO wskazuje pseudonimizację lub szyfrowanie danych. Ale uwaga! Wskazanie ich wcale nie oznacza obowiązku ich stosowania w każdym przypadku. Wskazanie ich w RODO oznacza jedynie na możliwość ich zastosowania – ale tylko jeśli  będą one odpowiednie w konkretnym przypadku.

Zapewnienie bezpieczeństwa przetwarzania danych – środki organizacyjne

Oprócz środków technicznych RODO wymienia również środki organizacyjne, czyli różnego rodzaju rozwiązania odnoszące się do sposobu zorganizowania procesów przetwarzania danych.

Do tego rodzaju środków zabezpieczeń można zaliczyć m.in. ustalenie zasad dostępu do danych, reguł pobierania kluczy, wydzielenie stref ograniczonego dostępu osób postronnych itp.

Opis technicznych i organizacyjnych środków bezpieczeństwa danych powinien zaś stanowić element rejestru czynności przetwarzania, którego prowadzenie jest obowiązkiem administratora i podmiotu przetwarzającego.

Zapewnienie bezpieczeństwa przetwarzania danych – podsumowanie

Jeśli po przeczytaniu tego tekstu macie wrażenie, że „odpowiednie środki” to określenie bardzo ocenne to.. Wasze wrażenie jest jak najbardziej prawidłowe.  I takie właśnie ma być. Dlaczego? Dlatego, że to RODO jedynie „podpowiada” jakie ryzyka należy uwzględnić oraz jakie środki można podjąć spełnić obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Daje więc przysłowiową „wędkę” a nie „rybkę”. To administrator i podmiot przetwarzający powinien sam zdecydować jakie środki będą najbardziej odpowiednie) dla niego i które najlepiej będą realizowały obowiązek ochrony danych tych, których te dane dotyczą.

***