Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Zabezpieczenie danych według rodo

25-09-2017 Autor: Tomasz Cygan

Medialna wrzawa wokół rodo koncentruje się wokół dwóch haseł: kary finansowe i nowe obowiązki. Tymczasem ani ochrona danych osobowych nie jest zagadnieniem nieznanym, ani rodo nie wprowadza samych nowych, nieznanych wcześniej rozwiązań w tym zakresie.

 

Zmian jest sporo – pojawiają się nowe definicje (np. dane biometryczne), a stare się zmieniają (np. dane osobowe), pojawiają się nowe obowiązki (np. ocena skutków przetwarzania), inne ulegają upowszechnieniu (np. informowanie o naruszeniu ochrony danych osobowych), wreszcie niektóre odchodzą w przeszłość (np. zgłaszanie zbiorów do rejestracji). Natomiast wejście w życie i stosowanie przepisów rodo wcale nie oznacza, że dotychczasowe obowiązki w całości przestają być przydatne. W związku z tym warto przyjrzeć się rodo pod kątem tego, które obowiązki związane z zabezpieczeniem danych osobowych wymagane przez uodo pozostaną w mocy pod rządami rodo.

W aktualnie obowiązujących przepisach zagadnieniom związanym z zabezpieczeniem danych osobowych ustawodawca poświęca cały rozdział w uodo (rozdział 5 „Zabezpieczenie danych” obejmujący art. 36–39a) oraz przynajmniej dwa rozporządzenia:

  • rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU nr 100, poz. 1024) – dalej: rozporządzenie MSWiA;
  • rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (DzU z 2015 r., poz. 745) – dalej: rozporządzenie dotyczące ABI.

Natomiast prawodawca unijny w rodo zabezpieczeniu danych poświęca trzy przepisy:

  • art. 5 ust. 1f – zasada poufności i integralności danych;
  • art. 24 – obowiązki administratora;
  • art. 32 – bezpieczeństwo przetwarzania.

W dotychczas obowiązującym porządku prawnym prawidłowe zabezpieczenie danych osobowych, polegające na stosowaniu odpowiednich środków organizacyjnych i technicznych, powinno być poprzedzone dokonaniem oceny ryzyka wystąpienia konkretnych zagrożeń. Wynika to z faktu, że dane osobowe nie mogą być chronione na wszelki wypadek przed bliżej nieokreślonymi zagrożeniami. Stosowane środki ochrony danych osobowych powinny być odpowiednie do zagrożeń. Wobec tego już obecnie obowiązujące przepisy kładły nacisk na ocenę dokonywaną przez konkretnego administratora danych. Oczywiście, obecnie obowiązujące przepisy przewidują pewien „zestaw obowiązkowych zabezpieczeń” w postaci haseł, loginów czy kopii zapasowych, ale pod rządami rodo rozwiązania te będą mogły być utrzymane. Można nawet zaryzykować stwierdzenie, że przepisy rodo, o których pisze się w kontekście proaktywnego podejścia do ochrony danych osobowych, w dalszym ciągu będą opierały się na niektórych już znanych i stosowanych rozwiązaniach. Bo czymże będzie polityka tworzenia haseł i loginów, jeśli nie zapewnianiem zdolności „do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”, a procedura tworzenia kopii zapasowych wypełni nam zawartością obowiązek zapewniania zdolności „do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego”.

Na podstawie powyższych przepisów warto przyjrzeć się niektórym rozwiązaniom zawartym w rodo w powiązaniu z obecnie obowiązującymi przepisami.

 

Wdrożenie odpowiednich środków technicznych i organizacyjnych

 

Obecnie obowiązujące przepisy nakładają obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 uodo). Środki te powinny zostać opisane w dokumentacji (art. 36 ust. 2 uodo), na którą składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Odnosząc się do wymogów rodo, wydaje się, że mało praktycznym rozwiązaniem byłoby wdrożenie zabezpieczeń bez ich uprzedniego lub następczego opisania. Opisanie tych zabezpieczeń przed ich wdrożeniem zapewnia ciągłość działania.


W związku z tym aktualność zachowują wszystkie te postanowienia dokumentacji, które opisują wdrożone środki organizacyjne i techniczne służące zabezpieczeniu danych. Jak stanowi § 4 pkt 5 rozporządzenia MSWiA, polityka bezpieczeństwa powinna zawierać określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

 

Przeglądy i uaktualnienie

 

Do obowiązków administratora bezpieczeństwa informacji (dalej: ABI) należą przeglądy oraz uaktualnienie już wdrożonych odpowiednich środków technicznych i organizacyjnych.


[...]

Autor jest adwokatem, konsultantem i wykładowcą, współautorem bloga poświęconego ochronie danych osobowych, audytorem wewnętrznym normy ISO/IEC 27001:2014-12.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.