05 Sty

Czy po wejściu RODO dotychczasowa dokumentacja bezpieczeństwa pójdzie do kosza?

Dostaję bardzo dużo pytań o to, czy po wejściu w życie RODO dotychczasowe polityki bezpieczeństwa  oraz instrukcje zarządzania systemami informatycznymi będą miały sens i czy w ogóle będą potrzebne. Krajowa ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych wskazywała wprost w art. 36 ust. 2 obowiązek prowadzenia dokumentacji, co więcej w przepisach wykonawczych do ustawy były szczegółowe wytyczne co powinna (minimum) zawierać dokumentacja, a po nowelizacji ustawy w 2015 roku pojawiły się także zasady prowadzenia rejestrów zbiorów danych osobowych oraz sposób realizowania nadzoru nad procesami przetwarzania przez ABI (które stanowiły także wytyczne dla administratorów danych, którzy nie powołali ABI).

Natomiast RODO w odróżnieniu od dotychczasowej ustawy nie daje jasnych wytycznych, a jedynie „wskazówki”. Wynika to z faktu, że lata stosowania sztywnych reguł, udowodniły że są one nieadekwatne do rzeczywistości (najczęściej za nią w ogóle nie nadążają), która wymaga bardzo kompleksowego i szerokiego podejścia do zagadnienia bezpieczeństwa informacji.

Unijny ustawodawca w motywie 76 wskazuje, że prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Czyli to administrator danych sam powinien ocenić, jakie środki techniczne lub organizacyjne są niezbędne lub zbędne. Daje to mu dużą elastyczność działania, pozwalając różne obszary zabezpieczyć w różny sposób (w różnym stopniu) w zależności od oszacowanego ryzyka. Warto zauważyć, że dotychczas działając zgodnie z Rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, określaliśmy poziom ryzyka jako niski, średni i wysoki, gdzie wysoki występował właściwie zawsze, bo dotyczył przetwarzania, które odbywa się na urządzeniach mających dostęp do Internetu. Jednocześnie zabezpieczenia proponowane przez Rozporządzenie były przestarzałe, nieskuteczne i odstające od rzeczywistości. RODO daje administratorom danych wolność wyboru. To ich decyzja i ryzyko, jakie środki zastosują. Jeżeli mają duży apetyt na ryzyko, mogą zastosować niższy poziom ochrony, licząc się z wynikającymi z RODO konsekwencjami wysokich kar umownych.

Dla wielu administratorów danych jest to nowa, nieznana rzeczywistość. Pytają: jak to szacować ryzyko? Przecież mamy swoje dokumentacje, w których określiliśmy środki ochrony dla poszczególnych danych. Mamy swoje procedury, które dawały gwarancje poufności i rozliczalności danych. Czy to wszystko przestaje się teraz liczyć? Dotychczasowa dokumentacja jak najbardziej ma sens i nie widzę powodu, aby robić wszystko od nowa. Przecież już w motywie 78 RODO wskazano, że ochrona praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych wymaga wdrożenia odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów niniejszego rozporządzenia. Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych. Takie polityki zostały (bo musiały zostać, zgodnie z obowiązkami wynikającymi z przepisów prawa) już wdrożone przez administratorów danych. Wobec tego zamiast je wyrzucać, należy dostosować je do RODO. Pierwszym krokiem jest przeprowadzenie kompleksowego audytu, który pozwali stworzyć analizę ryzyka i zagrożeń. Na podstawie audytu i analizy administrator danych powinien dokonać weryfikacji i aktualizacji dotychczasowych procedur bezpieczeństwa.

Dodatkowo powinien rozszerzyć swoje procedury o zasadę postępowania w przypadku powstania naruszenia ochrony danych, uwzględniające działania administratora danych w zakresie minimalizacji skutków oraz powiadamianie podmiotu danych oraz organu nadzorującego o naruszeniu na zasadach określonych w art. 33-34 RODO (na pewno w jednym z przyszłych wpisów poświęcę więcej uwagi temu zagadnieniu).

Administrator danych aktualizując swoją dokumentację powinien także jako jeden ze środków ochrony uwzględnić minimalizację przetwarzania danych, zaczynając od gromadzenia tylko niezbędnych danych, już na etapie gromadzenia określania maksymalnego czasu przechowywania, a w trakcie przetwarzania pseudnimizację danych, która sprawi, że nawet przy kradzieży danych, skorzystanie z nich będzie bardzo trudne lub niemożliwe. Wszystkie procedury powinny być regularnie testowane i doskonalone, w celu minimalizacji ryzyka.

Wraz z majem 2018 roku przestaniemy opierać nasze dokumentacje na wspomnianym rozporządzeniu MSWiA. Tak jak wspomniałam, w miejsce sztywnych wytycznych pojawi się przeprowadzana samodzielnie analiza. RODO nakłada na organ nadzorujący obowiązek wspierania administratorów danych w ich dążeniu do podnoszenia środków ochrony, więc na jego stronach powinny zacząć pojawiać się oficjalne wytyczne w tym zakresie. Dzisiaj skutecznie można oprzeć swoje działania na normach ISO, w szczególności normach ISO związanych z zarządzeniem bezpieczeństwem informacji, analizą ryzyka, zapewnieniem ciągłości działania. Są to doskonałe narzędzia pracy, przy aktualizacji RODO. Dodatkowo z czasem powinny pojawić się Kodeksy Postępowania, do tworzenia których zachęca RODO, jednak na razie jest to pieśń przyszłości. Pamiętajcie, że RODO to ewolucja, a nie rewolucja i nie należy wyrzucać do kosza dotychczasowej pracy, szczególnie jeżeli metodą prób i błędów udało nam się wdrożyć skuteczne i działające procedury.


Autorką tekstu jest Sylwia Czub-Kiełczewska, specjalista ds. ochrony danych osobowych oraz certyfikowany audytor wewnętrzny ISO 27001 Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie! Napisz do mnie


Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia: Akredytowane szkolenia z ochrony danych osobowych