Czyli… praktyczne wnioski z kary dla Morele.net
Art. 24 ust. 1 RODO mówi o tym, że powinniśmy stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć dane osobowe.
Odpowiednie, czyli jakie? To pytanie zadaje sobie każdy Inspektor Ochrony Danych. W końcu doczekaliśmy się pierwszych wskazówek regulatora! Jeszcze nie w formie oficjalnych wytycznych, ale… dobre i to!
Dlaczego temat odpowiednich środków technicznych i organizacyjnych powraca w dobie RODO?
Temat wcale nie jest nowy. Każda osoba zajmująca się ochroną danych osobowych przed 25 maja 2018 r., musiała się z nim zetknąć.
Polska ustawa o ochronie danych osobowych z 1997 roku (UODO) w art. 36 wskazywała, że „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną”.
A dalej, w art. 39a wskazywała, że „Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia (…) warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”.
Przez wiele lat wszyscy Administratorzy Bezpieczeństwa Informacji musieli dobrze znać Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Jak powyższe rozwiązania zdały egzamin?
Delikatnie mówiąc – średnio. Weźmy na przykład nasz „rozporządzeniowy” wymóg zmiany hasła co 30 dni. W roku 1997, kiedy systemy informatyczne nie były tak popularne, większość pracowników miała dostęp do jednego, góra dwóch systemów.
W takiej sytuacji zmiana hasła co 30 dni mogła być uzasadniona.
Obecnie w większych firmach pracownicy posiadają dostępy do dużej liczby systemów.
Zmiana 20 haseł co 30 dni, nie zwiększy bezpieczeństwa informacji. Wręcz przeciwnie – może się przyczynić do wycieku danych.
Wpisywanie w akty prawne listy konkretnych zabezpieczeń (zwłaszcza IT), jest drogą donikąd. Postęp w obszarze IT jest tak szybki, że może się okazać, że jeszcze w toku prac legislacyjnych ustawa przestanie być aktualna.
Jakie rozwiązanie przyjęli twórcy RODO?
RODO obliczono na ok. 20 lat funkcjonowania. Żeby zapewnić Rozporządzeniu tak dużą żywotność – musi być ono uniwersalne i elastyczne.
Jak to zrobić? Używając tzw. klauzul generalnych i zwrotów, takich jak np. RODOwski ogólny poziom zabezpieczeń.
Ta konstrukcja ma zapewnić RODOodporność na czas i zmiany technologiczne.
Administratorzy danych też odczują korzyści. Zamiast trzymać się przestarzałych przepisów, mogą teraz sami ustalić adekwatną politykę częstotliwości zmiany haseł.
Teoretycznie wszyscy powinni być zadowoleni. Praktycznie nie do końca tak jest.
Administratorzy danych czy IODowie narzekają na brak konkretnych wytycznych, szczególnie w obszarze zabezpieczeń IT.
Wciąż nie doczekaliśmy się także długo obiecywanych przez Prezesa UODO wytycznych.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Jest problem… jest rozwiązanie!
Decyzja w sprawie Morele.net zapewne spędza sen z powiek wielu ADO. Nie dość, że spółka została zaatakowana przez przestępców, to jeszcze musiała zapłacić karę regulatorowi. Za co więc ta kara?
Właśnie za niestosowanie „odpowiednich środków zabezpieczeń”.
Nie czas i miejsce tutaj na ocenę decyzji regulatora. Zrobiono to już zresztą we wszystkich mediach społecznościowych i tradycyjnych. Nasz komentarz do decyzji tutaj.
Skupmy się na tym, co w decyzji konstruktywne i pomocne dla każdego ADO.
A tym czymś jest z całą pewnością lista 6 norm i wytycznych, na które Prezes UODO powołał się w swojej decyzji. Listę uzupełniamy normą, wskazaną przez UODO we wskazówkach dotyczących prowadzenia dokumentacji ochrony danych osobowych na gruncie RODO (https://uodo.gov.pl/pl/138/273).
Listę możemy potraktować jako nieoficjalne wytyczne naszego regulatora w obszarze środków zabezpieczających (zwłaszcza tych technologicznych).
Opracowaliśmy dla Państwa ogólną charakterystykę norm i wytycznych na które powołał się nasz regulator!
Zapraszam do lektury i wyboru najbardziej adekwatnych dla swojej organizacji środków bezpieczeństwa.
Pobierz plik PDF z porównaniem norm
PobierzPodsumowanie
Administratorzy danych osobowych nie mogą się już powoływać na nieznajomość odpowiednich środków technicznych i organizacyjnych.
Dzięki decyzji Prezesa UODO, zyskaliśmy w końcu pewien punkt odniesienia, który będzie bardzo pomocny przy budowaniu zabezpieczeń z obszaru security IT.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- praktyczne doświadczenie budowania systemów ochrony danych osobowych od 2008 roku (jako ABI) i po 2018 roku (jako IOD)
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.