W jaki sposób rozporządzenie UE w sprawie Ochrony Danych Osobowych zrewolucjonizuje podejście firm do bezpieczeństwa systemów informatycznych?



Ochrona danych osobowych – to pojęcie budzące ciągle spore kontrowersje. Z jednej strony gwarantuje nam wszystkim prawo do zachowania prywatności, z drugiej zaś jest wielkim problemem dla prowadzenia biznesu. Bo nie ma chyba firmy, która nie podlegałaby pod ustawę o ochronie danych osobowych i nie musiałaby stosować odpowiednich procedur, środków technicznych oraz „papierologii”, aby wykazać swoją troskę o bezpieczeństwo takich danych. W praktyce wygląda jednak to już zdecydowanie gorzej. I stąd też konieczność małego zrewolucjonizowania podejścia do ochrony danych osobowych w całej Unii Europejskiej.

Po wielu miesiącach prac, w kwietniu 2016 r. zostało opublikowane rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Rozporządzenie zacznie obowiązywać z końcem maja 2018 r., a zatem państwa członkowskie mają 2 lata na dostosowanie swoich regulacji do wymagań wspólnoty. Wiemy jednak już teraz, czego możemy się spodziewać – i dzisiaj chciałbym omówić krótko tylko te zmiany, które będą dotyczyły bezpośrednio samego bezpieczeństwa danych i zostały przedstawione w art. 32 i 33 rozporządzenia.

Przede wszystkim administrator i podmiot przetwarzający dane osobowe (czyli firma, która nie jest administratorem danych, ale przetwarza je na polecenie innego administratora) zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić adekwatny stopień bezpieczeństwa odpowiadający ryzyku utraty lub ujawnienia tych danych. A zatem niezbędne będzie przeprowadzenie analizy takiego ryzyka, co nie jest obecnie standardem. Jako właściwy przykład zastosowania środków technicznych i organizacyjnych zaleca się w szczególności:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Powyższe wytyczne wskazują wprost, że firmy będą musiały zadbać o bezpieczeństwo danych w dużo większym stopniu, niż ma to miejsce dzisiaj. O ile bowiem obowiązki związane z zapewnieniem poufności, integralności, dostępności i odporności są pewnym standardem już teraz, to regularne audytowanie tych systemów (czyli testowanie, mierzenie i ocenianie ich skuteczności) nie jest niestety często spotykaną praktyką i będzie musiało ulec ogromnym zmianom.

Kolejną bardzo ważną zmianą jest bezwzględny obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – musi zgłosić je organowi nadzorczemu (czyli u nas do GIODO). Do zgłoszenia przekazanego po upływie 72 godzin należy dołączyć wyjaśnienie przyczyn opóźnienia. Zgłoszenie takie musi m.in.

  • opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
  • opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Skoro zatem administrator (czyli firma) musi bezzwłocznie zgłaszać incydenty związane z ochroną danych, to przede wszystkim musi być w stanie je na bieżąco monitorować. Wymaga to zwrócenia dużo większej uwagi na bezpieczeństwo systemów IT, ale także na utrzymywanie wysokiej świadomości zagrożeń wśród pracowników. A zatem do regularnych audytów będzie dochodziła konieczność odpowiedniego wyszkolenia pracowników, wdrożenia procedur lub systemów monitorowania i przeprowadzania np. audytów socjotechnicznych.

Dochodzi też oczywiście biurokracja, ponieważ administrator musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania artykułu 33 rozporządzenia.

Na sam koniec zostawmy sobie zatem informację, że naruszenia przepisów dotyczących kwestii bezpieczeństwa danych będą podlegać karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W przypadku zaś podstawowych zasad przetwarzania danych, w tym warunków zgody, kara może sięgnąć 20 000 000 EUR, a w przypadku przedsiębiorstwa – 4 % jego całkowitego rocznego światowego obrotu. I w obydwu przypadkach zastosowanie ma kwota wyższa. Miejmy zatem nadzieję, że przez niecałe już 2 lata uda nam się nieco zmienić postrzeganie zagadnień bezpieczeństwa przez zarządy firm i w rezultacie uniknąć stresu związanego z ryzykiem przetwarzania danych osobowych w nowych realiach.

 

 

Autor: Adam Wódz – Od ponad 20 lat związany z branżą informatyczną, a w szczególności z zagadnieniami compliance oraz bezpieczeństwa aplikacji i danych.

Współtworzył polski oddział firmy Symantec, w którym kierował kilkoma działami konsultantów, m.in. w zakresie zabezpieczeń antypirackich oraz analizy bezpieczeństwa oprogramowania. Obecnie jest liderem domeny Secure Connectivity w firmie Cybercom Poland i menadżerem zespołu bezpieczeństwa IT, specjalizującego się w świadczeniu usług z zakresu bezpieczeństwa aplikacji i infrastruktury IT, testów penetracyjnych, audytów bezpieczeństwa, compliance i testów socjotechnicznych.

W latach 2010 -2012 członek zarządu ISSA Polska. Pełnił również rolę szefa grup bezpiecznych płatności mobilnych oraz bezpieczeństwa klientów usług bankowych na Forum Technologii Bankowych przy Związku Banków Polskich. Współpracuje z Dziennikiem Gazeta Prawna, jest autorem serii artykułów dotyczących bezpieczeństwa w Kancelariach Prawniczych.

 

Czytaj też:

W jaki sposób wyciekają dane?

Wrażliwość biznesu na dane wrażliwe