RODO innowacyjnie w stosunku do dotychczasowych rozwiązań, podchodzi do kwestii doboru odpowiednich środków zapewniających rozliczalność danych (mam na myśli rozliczalność w rozumieniu fundamentalnych zasad przetwarzania danych, o których mowa w art. 5 RODO). W miejsce stałych wytycznych, które dotychczas prowadziły administratora danych za rękę, wprowadza podejście oparte na ryzyku. Jedyne konkretne (minimalne) wytyczne zostały wskazane w art. 32, tzn.
- szyfrowanie i pseudonimizacja danych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Ani słowa o hasłach, szafach, niszczarkach, zabezpieczeniach sieci. Administrator danych (firma) musi zapewnić zdolność do skutecznego zabezpieczenia danych, czyli samodzielnie dobiera odpowiednie środki i bierze za nie odpowiedzialność. A ich skuteczność ma być zagwarantowana przez ciągłe testowanie i ocenianie. W jaki sposób? To administrator danych decyduje. Oczywiście najważniejszą i najbardziej obiektywną oceną, czy zastosowane rozwiązania są skuteczne, będzie skuteczność. Jednakże jeżeli środki bezpieczeństwa zawiodą, administrator stanie przed koniecznością udowodnienia, że ze swojej strony robił wszystko co mógł, aby tak nie było, w tym dobór środków dyktował nie tylko ceną, ale także ich skutecznością. Będzie musiał okazać wyniki dokonywanych testów i oceny skuteczności zastosowanych zabezpieczeń. Narzędziem służącym do realizacji tego zadania jest analiza ryzyk i zagrożeń. Konieczność dokonania analizy wywodzimy także z art. 35 RODO, który wskazuje, że jeżeli dla konkretnego przetwarzania istnieje wysokie ryzyko naruszenia poufności, należy przeprowadzić ocenę skutków dla ochrony danych. Najpierw trzeba ocenić ryzyko, żeby wiedzieć, czy konieczna jest ocena skutków.
Kto powinien przeprowadzić analizę ryzyka
W tym momencie dla większości administratorów zaczyna się problem. Jak zrobić analizę ryzyka, czy można zrobić ją samodzielnie, czy trzeba zatrudnić zewnętrzną firmę? Jakich narzędzi użyć, czy jest to trudne? Jeżeli wyszukiwaliście w Internecie informacje o metodologii przeprowadzania analizy ryzyka, to wiecie, że jest to zagadnienie dość skomplikowane. Tym bardziej, że nie da się napisać uniwersalnego tekstu o analizie ryzyka, tak żeby był prosty i zrozumiały, bo należy uwzględnić zarówno potrzeby małych, średnich, jak i dużych przedsiębiorstw. Z audytów u klientów wiem, że bardzo często osoba, której przypadł zaszczyt przeprowadzenia analizy nie ma o tym zielonego pojęcia, a w najlepszym przypadku dostaje tabelkę z poleceniem proszę to uzupełnić. Uzupełnia, tak jak jej się wydaje, tak jakby wróżyła z fusów. Stwierdzając, że jest to bezużyteczne i nic nie daje. Dodatkowo jest ogromny nacisk ze strony kierownictwa, aby wszędzie wyszło niskie ryzyko. Read More →