Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach. Każdy subskrybent otrzyma od nas bonus - ankietę do badania RODO-świadomości pracowników.

Zapisz się

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa, tel. (22) 253 28 18; e-mail: kontakt[AT]lex-artist.pl Dane osobowe przetwarzane będą w celu świadczenia usługi wysyłki newslettera. Przysługuje Pani/Panu prawo do: dostępu do treści danych, sprostowania danych, usunięcia danych, ograniczenia przetwarzania danych, wniesienia sprzeciwu, wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się: tutaj.

Co to są odpowiednie środki zabezpieczeń według RODO?

Czyli… praktyczne wnioski z kary dla Morele.net

Art. 24 ust. 1 RODO mówi o tym, że powinniśmy stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć dane osobowe.

Odpowiednie, czyli jakie? To pytanie zadaje sobie każdy Inspektor Ochrony Danych. W końcu doczekaliśmy się pierwszych wskazówek regulatora! Jeszcze nie w formie oficjalnych wytycznych, ale… dobre i to!

Dlaczego temat odpowiednich środków technicznych i organizacyjnych powraca w dobie RODO?

Temat wcale nie jest nowy. Każda osoba zajmująca się ochroną danych osobowych przed 25 maja 2018 r., musiała się z nim zetknąć.

Polska ustawa o ochronie danych osobowych z 1997 roku (UODO) w art. 36 wskazywała, że „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną”.

A dalej, w art. 39a wskazywała, że „Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia (…) warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”.

Przez wiele lat wszyscy Administratorzy Bezpieczeństwa Informacji musieli dobrze znać Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jak powyższe rozwiązania zdały egzamin?

Delikatnie mówiąc – średnio. Weźmy na przykład nasz „rozporządzeniowy” wymóg zmiany hasła co 30 dni. W roku 1997, kiedy systemy informatyczne nie były tak popularne, większość pracowników miała dostęp do jednego, góra dwóch systemów.

W takiej sytuacji zmiana hasła co 30 dni mogła być uzasadniona.

Obecnie w większych firmach pracownicy posiadają dostępy do dużej liczby systemów.

Zmiana 20 haseł co 30 dni, nie zwiększy bezpieczeństwa informacji. Wręcz przeciwnie – może się przyczynić do wycieku danych.

Wpisywanie w akty prawne listy konkretnych zabezpieczeń (zwłaszcza IT), jest drogą donikąd. Postęp w obszarze IT jest tak szybki, że może się okazać, że jeszcze w toku prac legislacyjnych ustawa przestanie być aktualna.

Jakie rozwiązanie przyjęli twórcy RODO?

RODO obliczono na ok. 20 lat funkcjonowania. Żeby zapewnić Rozporządzeniu tak dużą żywotność – musi być ono uniwersalne i elastyczne.

Jak to zrobić? Używając tzw. klauzul generalnych i zwrotów, takich jak np. RODOwski ogólny poziom zabezpieczeń.

Ta konstrukcja ma zapewnić RODOodporność na czas i zmiany technologiczne.

Administratorzy danych też odczują korzyści. Zamiast trzymać się przestarzałych przepisów, mogą teraz sami ustalić adekwatną politykę częstotliwości zmiany haseł.

Teoretycznie wszyscy powinni być zadowoleni. Praktycznie nie do końca tak jest.

Administratorzy danych czy IODowie narzekają na brak konkretnych wytycznych, szczególnie w obszarze zabezpieczeń IT.

Wciąż nie doczekaliśmy się także długo obiecywanych przez Prezesa UODO wytycznych.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Jest problem… jest rozwiązanie!

Decyzja w sprawie Morele.net zapewne spędza sen z powiek wielu ADO. Nie dość, że spółka została zaatakowana przez przestępców, to jeszcze musiała zapłacić karę regulatorowi. Za co więc ta kara?

Właśnie za niestosowanie „odpowiednich środków zabezpieczeń”.

Nie czas i miejsce tutaj na ocenę decyzji regulatora. Zrobiono to już zresztą we wszystkich  mediach społecznościowych i tradycyjnych. Nasz komentarz do decyzji tutaj.

Skupmy się na tym, co w decyzji konstruktywne i pomocne dla każdego ADO.

A tym czymś jest z całą pewnością lista 6 norm i wytycznych, na które Prezes UODO powołał się w swojej decyzji. Listę uzupełniamy normą, wskazaną przez UODO we wskazówkach dotyczących prowadzenia dokumentacji ochrony danych osobowych na gruncie RODO (https://uodo.gov.pl/pl/138/273).

Listę możemy potraktować jako nieoficjalne wytyczne naszego regulatora w obszarze środków zabezpieczających (zwłaszcza tych technologicznych).

Opracowaliśmy dla Państwa ogólną charakterystykę norm i wytycznych na które powołał się nasz regulator!

Zapraszam do lektury i wyboru najbardziej adekwatnych dla swojej organizacji środków bezpieczeństwa.

Pobierz plik PDF z porównaniem norm

Pobierz

Podsumowanie

Administratorzy danych osobowych nie mogą się już powoływać na nieznajomość odpowiednich środków technicznych i organizacyjnych.

Dzięki decyzji Prezesa UODO, zyskaliśmy w końcu pewien punkt odniesienia, który będzie bardzo pomocny przy budowaniu zabezpieczeń z obszaru security IT.

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Prywatność zawsze na pierwszym miejscu
Wakacje z RODO
Budowanie RODO świadomości w organizacji

Zostaw odpowiedź