Zabezpieczenia danych osobowych zgodnie z RODO
RODO wielu kojarzy się z kolejnym zbędnym lub martwym przepisem utrudniającym prowadzenie działalności. Jednakże jak pokazują kolejne decyzje PUODO wcale tak nie jest. Warto spojrzeć na ostatnią decyzję nakładającą karę administracyjną w wysokości prawie 5 mln zł. Kara dotyczyła braku wdrożenia organizacyjnych środków kontroli podmiotu przetwarzającego u którego fizycznie doszło do naruszenia.
Jak właściwie podejść do tego zagadnienia?
Jednym z obowiązków nałożonych na podmioty przetwarzające dane osobowe jest wdrożenie organizacyjnych i technicznych środków zabezpieczenia danych. Skuteczność zastosowanych środków jest definiowana przez atrybuty: poufność, dostępność i niezaprzeczalność przetwarzanych danych. Dotyczy to zarówno danych przetwarzanych w formie tradycyjnej jak i w systemach informatycznych. W szczególności dziś, gdy cyfryzacja powoduje globalne zmiany w zakresie przetwarzania danych, segment ten stanowi największe wyzwanie dla Administratorów i Podmiotów przetwarzających. Jednak samo opracowanie lub zastosowanie technicznych rozwiązań nie wypełni wymogu RODO. Mowa tu jest o rozliczalności, czyli uzasadnieniu przed Organem Nadzorczym zastosowanych środków. Uzyskamy to opierając się na przeprowadzonej analizie ryzyka. Dopiero gdy zidentyfikujemy zagrożenia oraz podatności, ocenimy ryzyko naruszenia praw i wolności osoby, jesteśmy wstanie dobrać właściwe rozwiązania. To pozwoli wdrożyć właściwe środki organizacyjne i techniczne adekwatne do poziomu ryzyka i sprostać wymogom RODO.
Podpowiedzi jak to zrobić możemy szukać w samym RODO. Ustawodawca wskazał nam przykładowe działania, które możemy podjąć w celu zapewnienia bezpieczeństwa. To między innymi:
- pseudonimizacja i szyfrowanie danych osobowych;
- przystosowanie procesów, które zapewnią poufność, integralność, dostępność i odporność systemów i usług przetwarzania danymi;
- wdrożenie mechanizmów do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich (np. po wycieku danych);
- okresowe kontrolowanie, pomiar i oceniana skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Jednakże, RODO jest aktem prawnym neutralnym technologicznie. Oznacza to, że nie wskazuje jakie zabezpieczenia danych powinny być stosowane przez podmioty przetwarzające dane. Technologia jest coraz szybsza i przepisy nie nadążyłyby za zmianami. Ustawodawca unijny stworzył więc akt, który ma być aktem obowiązującym przez wiele lat.
W ramach ww. środków znalazła się zdolność do zapewnienia poufności, integralności oraz odporności systemów i usług przetwarzania. Odpowiedzialność za bezpieczeństwo danych które są przetwarzane w systemach komputerowych ponosi administrator oraz podmiot przetwarzający. To właśnie oni powinni zapewnić aktualne oprogramowania oraz regularne testy środków zabezpieczenia danych. UODO na swojej stronie internetowej informuje o aktualizacjach programów komputerowych stosowanych w podmiotach.
Jak zatem powinniśmy to zrobić?
Podstawą jest opracowanie odpowiednich regulaminów i zasad pracy z systemami informatycznymi, pocztą elektroniczną czy z nośnikami pamięci, które mogą zawierać dane osobowe itp. Regulamin taki obowiązkowo przedstawiamy osobom upoważnionym do przetwarzania danych osobowych. No i oczywiście nie zapominajmy o szkoleniu pracowników. To przecież użytkownik (człowiek) jest najsłabszym ogniwem każdego systemu bezpieczeństwa.
Kto może pomóc?
Na pewno powołany Inspektor Ochrony Danych (IOD). Osoba, która zgodnie z wymaganiami posiada niezbędną wiedzę i doświadczenie, aby wspierać Administratora lub Podmiot przetwarzający. Jeśli nie jesteśmy zobowiązani do wyznaczenia IOD, to nie znaczy, że zostaliśmy zwolnieni z obowiązku stosowania RODO. Warto w organizacji wyznaczyć osobę, która odpowiada za ten obszar zgodności. Takiego Eksperta Ochrony Danych Osobowych, który doradza, konsultuje i wspiera organizację.