02 Mar

Jak „ugryźć” RODO?

Świadomie od pewnego czasu unikałam szerszego omawiania zagadnienia tematu RODO (unijnego rozporządzenia o ochronie danych osobowych, które od maja 2018 roku zastąpi naszą ustawę o ochronie danych osobowych). Po pierwsze byłam odrobinę ciekawa „jakie szaleństwo narośnie dookoła tego tematu”, po drugie naprawdę liczyłam na to, że przeczytacie RODO. Rzeczywistość wygląda tak, że jesteście na każdym kroku straszeni przez różne firmy wysokimi karami oraz nieobliczalnymi kontrolami, które rozpoczną się już za niecały rok. W efekcie… zasypujecie mnie pytaniami. W większości z nich pytacie co robić? jak się nie dać? oraz co powinien zrobić człowiek, którego właśnie powołano na ABI?

Bardzo staram Wam się pomóc i skrupulatnie, chociaż z ogromnym opóźnieniem odpowiadam na Wasze wiadomości. Jednakże nawet najlepsze rady nie zdadzą się na nic, jeżeli osoba, która jest odpowiedzialna za nadzór nad przestrzeganiem przepisów i za zapewnienie ciągłości działania systemów bezpieczeństwa nie zapoznała się z przepisami. Prawda jest taka, że najlepsze szkolenie nie nauczy Was tego co jest konieczne, jeżeli nie przeczytacie:

Czytanie artykułów w Internecie omawiających przepisy jest jak czytanie streszczenia lektury. Nie daje pełnego obrazu i pełnej wiedzy. Nie pozwala zrozumieć dlaczego, daje jedynie obraz jak. Pojawia się masa mitów dookoła unijnego rozporządzenia, które podsycane są faktem, że mało kto zapoznał się już z jego tekstem. Ostatnio przeprowadziłam bardzo ciekawą dyskusję z koleżanką, która tak jak ja, miała jedne z zajęć na studiach poświęcone tylko i wyłącznie czytaniu przepisów. Doszłyśmy do wniosku, że to co wtedy było nudą i udręką, niesamowicie procentuje w naszej codziennej pracy. Czytanie RODO na pewno ułatwi Wam świetne omówienie każdego z rozdziałów przygotowane przez Jakuba Wezgraja (odoekspert).

Nowe przepisy zostały napisane w oparciu o bardzo rozsądne przesłanki. To administrator danych powinien sam szacować ryzyko i określać odpowiednie środki ochrony. Zostały omówione zasady, które musi zapewnić, jednak nie narzucono konkretnych rozwiązań. Jest to o tyle dobre, że po pierwsze pozwala dobierać środki (a co za tym idzie koszty ich zastosowania) do rodzaju i skali przetwarzanych danych oraz narzuca na administratora obowiązek ciągłego udoskonalania systemu bezpieczeństwa informacji.

Moim zdaniem na dzień dzisiejszy największym problemem będzie zapewnienie nadzoru procesów bezpieczeństwa w niedofinansowanych jednostkach publicznych, jak biblioteki, domy kultury, muzea, ośrodki pomocy społecznej, domy opieki, szpitale.

W tych jednostkach często w ogóle nie ma specjalistów odpowiedzialnych za zapewnienie bezpieczeństwa informatycznego, o bezpieczeństwie informacyjnym nie wspominając. Potrzebna jest dogłębna analiza problemu i zapewnienie tym jednostkom środków na realizację  wynikających z przepisów prawa obowiązków.

W przypadku instytucji kultury rozwiązaniem jest być może zapewnienie takiej obsługi na poziomie sieci powiatowej (tzn. jednostki zrzucają się na jednego specjalistę). Na pewno nie rozwiąże problemu deklaracja urzędów miasta, czy gminy że zapewnią godziny pracy swoich specjalistów w tych jednostkach organizacyjnych. Już dzisiaj takie rozwiązanie jest stosowane w wielu jednostkach i w praktyce nie działa, bo specjalista ma w urzędzie tyle obowiązków, że nie znajduje czasu na wizyty w innej jednostce.

Konieczne jest wspieranie procesów bezpieczeństwa już na etapie planowania działań jednostki. Odpowiedzialność, moim zdaniem, jest po stronie organu nadzorującego, który ma obowiązek zapewnić możliwość działania zgodnie z prawem i realizowania obowiązków przewidzianych w przepisach prawa.

Wracając do kwestii „zabrania się za RODO”. Przede wszystkim zalecam, aby jak najszybciej uregulować kwestie związane z obecną ustawą o ochronie danych osobowych.

Dla administratorów danych osobowych, którzy dzisiaj nie mają nic lub prawie nic w zakresie systemów zarządzania bezpieczeństwem informacji, moment obowiązywania RODO to rzeczywiście będzie koszmar i rewolucja.

Zwłaszcza, gdy klienci zaczną wymagać od nich pewnych rzeczy, które wymusza na nich RODO, a oni będą jeszcze w przysłowiowym lesie. Nowe przepisy kładą większy nacisk nie tylko na to, aby wdrożyć i monitorować własne systemy i polityki bezpieczeństwa, ale także przede wszystkim wymagać co najmniej takiego samego poziomu od dostawców usług. Administrator danych powinien kontrolować ich w tym zakresie (tak jak to dzieje się dzisiaj w tych firmach, które wdrożyły systemy zarządzania bezpieczeństwem informacji zgodne z normami ISO). Ostatnio stałam się dużą zwolenniczką i propagatorką wdrażania norm ISO w organizacjach, gdyż nie tylko ułatwiają i regulują zasady pracy (zarządzanie jakością, bezpieczeństwo IT, ciągłość działania, polityki bezpieczeństwa), ale też w bardzo mądry sposób przeprowadzają przez różne procesy mające miejsce w organizacji. Pracując zgodnie z normami, jednostka staje się dużo bardziej elastyczna i łatwiej jej się dostosować (zwłaszcza, że normy zazwyczaj są bardziej restrykcyjne i wymagające od przepisów, więc przygotowują na to co dopiero będzie wymagane).

Na koniec jeszcze dodam, że wdrożenie obecnych wymagań prawnych w zakresie bezpieczeństwa informacji zajmuje zazwyczaj od kilku do kilkunastu miesięcy i kończy się dopiero w momencie, gdy organizacja nie tylko stosuje wdrożone zasady, ale potrafi także zarządzać zmianami i incydentami. Nie wystarczy opracować (lub kupić) dokumentację bezpieczeństwa i narzucić ją osobom, które otrzymają dostęp do danych. Taka dokumentacja jest bezużyteczna, a działania administratora danych zostaną ocenione negatywnie. Liczy się odpowiednia świadomość (i to musi wychodzić z góry, od kierownictwa jednostki), że zapewnienie bezpieczeństwa informacji to proces, który wymaga ciągłego udoskonalenia. Utrata poufności danych to ryzyko utraty wizerunku firmy (czasami już nie do odzyskania), ryzyko prawne (kary określone w przepisach), ryzyko biznesowe (utrata płynności, odejście klientów, brak zaufania do firmy). Nie można olewać zarządzania bezpieczeństwem informacji w społeczeństwie, w którym informacje mają ogromne wartości biznesowe i przekładają się konkretne wyniki.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001

miniSpodobał Ci się ten wpis?

Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!

Napisz do mnie