Rzeczpospolita
Publicystyka

Kamil Kozioł: Bezpieczeństwo do przeglądu

Nie można wdrożyć RODO i o nim zapomnieć.

Publikacja: 21.12.2021 02:00

Kamil Kozioł: Bezpieczeństwo do przeglądu

Foto: Adobe Stock

Kamil Kozioł

Przepisy europejskiego ogólnego rozporządzenia o ochronie danych (RODO) wymagają, aby administratorzy danych poddawali środki techniczne i organizacyjne wdrożone w ramach systemu ochrony danych regularnym testom, pomiarom i ocenom skuteczności. Niestety, wśród przedsiębiorców istnieje duża pokusa, aby wdrożenie RODO potraktować jako projekt jednorazowy.

Środki bezpieczeństwa

Zgodnie z art. 32 RODO, każdy administrator danych osobowych oraz podmiot przetwarzający ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający zidentyfikowanym ryzykom. Przy podejmowaniu decyzji o rodzaju tych środków powinien on uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.

Dzięki takiemu ujęciu obowiązków administratorów danych każdy przedsiębiorca może samodzielnie określić, jakie środki techniczne i organizacyjne będą odpowiednie do zastosowania w jego organizacji, biorąc pod uwagę wszystkie wymienione czynniki. Oczywiście, środki takie mogą podlegać kontroli prezesa Urzędu Ochrony Danych Osobowych, który może z oceną przedsiębiorcy się nie zgodzić. Niemniej, przepisy RODO wprost wskazują, że nie ma jednego, idealnego zestawu środków technicznych i organizacyjnych, które sprawdzą się w każdej organizacji. Inny zestaw środków konieczny będzie w przychodni lekarskiej czy firmie produkcyjnej, a jeszcze inny w sklepie internetowym oferującym płatność ratalną.

Jednocześnie art. 32 RODO wymienia przykładowe środki techniczne i organizacyjne, które wydają się obowiązkiem każdego przedsiębiorcy. W szczególności mowa tu o art. 32 ust. 1 lit. d) RODO. Ten wskazuje, że administrator i podmiot przetwarzający powinni zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które mają zapewnić bezpieczeństwo przetwarzania danych osobowych.

Przepis, o którym mowa, ustanawia obowiązek regularnego, zaplanowanego testowania zastosowanych w firmie środków bezpieczeństwa, w tym zabezpieczeń systemów informatycznych. Jest on także wyraźną wskazówką dla przedsiębiorców, że nie można „jednorazowo wdrożyć RODO" i zapomnieć o jego istnieniu – konieczne jest nie tylko uwzględnienie ochrony danych osobowych przy projektowaniu nowych procesów przetwarzania, ale także sprawdzanie tych zabezpieczeń (środków technicznych i organizacyjnych), które już zostały w organizacji wdrożone.

Ważna jest regularność

W kontekście tego przepisu konieczne jest zwrócenie uwagi na „regularność" dokonywania takiego przeglądu środków bezpieczeństwa. W jednej ze swoich decyzji prezes UODO wprost wskazał, że dokonywanie incydentalnego przeglądu stosowanych środków jest niewystarczające i nie spełnia norm wskazanych w powołanym przepisie.

Dlatego z perspektywy przedsiębiorcy konieczne będzie zaplanowanie regularnego przeglądu stosowanych środków oraz dokonanie pomiaru lub oceny ich skuteczności, których częstotliwość dopasowana jest do charakteru, kontekstu, celów przetwarzania i zidentyfikowanego ryzyka przetwarzania. Trudno o wskazanie częstotliwości takich przeglądów, jednak za pewne minimum uznaje się przeprowadzanie sprawdzeń raz w roku. W podmiotach, które przetwarzają większą ilość danych lub wykorzystują specyficzne, nowoczesne technologie, takie sprawdzenia powinny odbywać się częściej.

Jako dobrą praktykę można wskazać także dokonywanie przeglądu stosowanych środków bezpieczeństwa po każdym zarejestrowanym incydencie. W takiej sytuacji przegląd może być ograniczony do środków powiązanych z konkretnym incydentem. Przykładowo, gdy polegał on na zaszyfrowaniu danych administratora za pomocą ransomware, konieczne będzie dokonanie przeglądu zabezpieczeń informatycznych.

Jednocześnie należy podkreślić, że monitorowanie podatności systemów informatycznych wykorzystywanych do przetwarzania danych osobowych, a zwłaszcza ich przetwarzania w chmurze, powinno odbywać się na bieżąco. Do takich celów stworzono rozwiązania, które pozwalają na weryfikację, czy – w świetle dostępnych informacji – system jest odporny na poszczególne podatności.

Rozliczalność też jest istotna

Bardzo ważnym aspektem z punktu widzenia RODO jest również zapewnienie rozliczalności działań administratora lub podmiotu przetwarzającego. Z tego powodu testowanie, ocenianie i mierzenie środków bezpieczeństwa powinno być zaplanowane. Należy również zapewnić zachowanie dokumentacji z przeglądów, gdyż bez tego nie będziemy w stanie wykazać przed organem nadzorczym, że w organizacji środki bezpieczeństwa są monitorowane.

W pewnym zakresie RODO przypomina systemy zarządzania znane z norm ISO, które poza ich wdrożeniem wymagają dokonywania regularnych audytów, sprawdzeń i przeglądów. Przedsiębiorcy, którzy są zaznajomieni z zasadami działania norm ISO, na pewno łatwiej adaptują się do obowiązku zapewnienia zgodności z RODO. Należy jednak zwrócić uwagę, że omawiane przeglądy środków bezpieczeństwa mogą być wykonane zarówno wewnętrznie przez przedsiębiorcę, jak i zlecone na zewnątrz (np. w formie audytów firm zewnętrznych). Jeśli tylko przedsiębiorca posiada odpowiednio wykwalifikowaną kadrę, jest w stanie przeprowadzić stosowne przeglądy samodzielnie.

Wdrożenie zasad ochrony danych osobowych w organizacji nie jest projektem jednorazowym i wymaga podejmowania działań o charakterze ciągłym – sprawdzania (przeglądy), uświadamiania (szkolenia) i ulepszania (zmiany środków bezpieczeństwa). Konieczne jest też uwzględnianie zasad ochrony prywatności przy zmianie i projektowaniu nowych procesów biznesowych w organizacji. Należy także pamiętać, że zalecenia dotyczące środków bezpieczeństwa mogą się zmieniać i ewoluować, dlatego trzeba je regularnie śledzić.

Autor jest menedżerem w Andersen w Polsce

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Publicystyka Dane Osobowe Rzecz o prawie

Przepisy europejskiego ogólnego rozporządzenia o ochronie danych (RODO) wymagają, aby administratorzy danych poddawali środki techniczne i organizacyjne wdrożone w ramach systemu ochrony danych regularnym testom, pomiarom i ocenom skuteczności. Niestety, wśród przedsiębiorców istnieje duża pokusa, aby wdrożenie RODO potraktować jako projekt jednorazowy.

Środki bezpieczeństwa

Pozostało 94% artykułu
Ewa Szadkowska: Ta okropna radcowska cisza
Rzecz o prawie
Ewa Szadkowska: Ta okropna radcowska cisza
Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!
Materiał Promocyjny
Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!
Maciej Gutowski, Piotr Kardas: Neosędziowski węzeł gordyjski
Rzecz o prawie
Maciej Gutowski, Piotr Kardas: Neosędziowski węzeł gordyjski
Jacek Dubois: Wstyd mi
Rzecz o prawie
Jacek Dubois: Wstyd mi
Robert Damski: Komorniku, radź sobie sam
Rzecz o prawie
Robert Damski: Komorniku, radź sobie sam
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Materiał Promocyjny
Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?
Mikołaj Małecki: Zabójstwo drogowe gorsze od ludobójstwa?
Rzecz o prawie
Mikołaj Małecki: Zabójstwo drogowe gorsze od ludobójstwa?
Opel Movano w leasingu 105% – sprawdź teraz!
Materiał Promocyjny
Opel Movano w leasingu 105% – sprawdź teraz!
Advertisement
e-Wydanie