Co to są odpowiednie środki zabezpieczeń według RODO?

Czyli… praktyczne wnioski z kary dla Morele.net

Art. 24 ust. 1 RODO mówi o tym, że powinniśmy stosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć dane osobowe.

Odpowiednie, czyli jakie? To pytanie zadaje sobie każdy Inspektor Ochrony Danych. W końcu doczekaliśmy się pierwszych wskazówek regulatora! Jeszcze nie w formie oficjalnych wytycznych, ale… dobre i to!

Dlaczego temat odpowiednich środków technicznych i organizacyjnych powraca w dobie RODO?

Temat wcale nie jest nowy. Każda osoba zajmująca się ochroną danych osobowych przed 25 maja 2018 r., musiała się z nim zetknąć.

Polska ustawa o ochronie danych osobowych z 1997 roku (UODO) w art. 36 wskazywała, że „Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną”.

A dalej, w art. 39a wskazywała, że „Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia (…) warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych”.

Przez wiele lat wszyscy Administratorzy Bezpieczeństwa Informacji musieli dobrze znać Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Jak powyższe rozwiązania zdały egzamin?

Delikatnie mówiąc – średnio. Weźmy na przykład nasz „rozporządzeniowy” wymóg zmiany hasła co 30 dni. W roku 1997, kiedy systemy informatyczne nie były tak popularne, większość pracowników miała dostęp do jednego, góra dwóch systemów.

W takiej sytuacji zmiana hasła co 30 dni mogła być uzasadniona.

Obecnie w większych firmach pracownicy posiadają dostępy do dużej liczby systemów.

Zmiana 20 haseł co 30 dni, nie zwiększy bezpieczeństwa informacji. Wręcz przeciwnie – może się przyczynić do wycieku danych.

Wpisywanie w akty prawne listy konkretnych zabezpieczeń (zwłaszcza IT), jest drogą donikąd. Postęp w obszarze IT jest tak szybki, że może się okazać, że jeszcze w toku prac legislacyjnych ustawa przestanie być aktualna.

Jakie rozwiązanie przyjęli twórcy RODO?

RODO obliczono na ok. 20 lat funkcjonowania. Żeby zapewnić Rozporządzeniu tak dużą żywotność – musi być ono uniwersalne i elastyczne.

Jak to zrobić? Używając tzw. klauzul generalnych i zwrotów, takich jak np. RODOwski ogólny poziom zabezpieczeń.

Ta konstrukcja ma zapewnić RODOodporność na czas i zmiany technologiczne.

Administratorzy danych też odczują korzyści. Zamiast trzymać się przestarzałych przepisów, mogą teraz sami ustalić adekwatną politykę częstotliwości zmiany haseł.

Teoretycznie wszyscy powinni być zadowoleni. Praktycznie nie do końca tak jest.

Administratorzy danych czy IODowie narzekają na brak konkretnych wytycznych, szczególnie w obszarze zabezpieczeń IT.

Wciąż nie doczekaliśmy się także długo obiecywanych przez Prezesa UODO wytycznych.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Jest problem… jest rozwiązanie!

Decyzja w sprawie Morele.net zapewne spędza sen z powiek wielu ADO. Nie dość, że spółka została zaatakowana przez przestępców, to jeszcze musiała zapłacić karę regulatorowi. Za co więc ta kara?

Właśnie za niestosowanie „odpowiednich środków zabezpieczeń”.

Nie czas i miejsce tutaj na ocenę decyzji regulatora. Zrobiono to już zresztą we wszystkich  mediach społecznościowych i tradycyjnych. Nasz komentarz do decyzji tutaj.

Skupmy się na tym, co w decyzji konstruktywne i pomocne dla każdego ADO.

A tym czymś jest z całą pewnością lista 6 norm i wytycznych, na które Prezes UODO powołał się w swojej decyzji. Listę uzupełniamy normą, wskazaną przez UODO we wskazówkach dotyczących prowadzenia dokumentacji ochrony danych osobowych na gruncie RODO (https://uodo.gov.pl/pl/138/273).

Listę możemy potraktować jako nieoficjalne wytyczne naszego regulatora w obszarze środków zabezpieczających (zwłaszcza tych technologicznych).

Opracowaliśmy dla Państwa ogólną charakterystykę norm i wytycznych na które powołał się nasz regulator!

Zapraszam do lektury i wyboru najbardziej adekwatnych dla swojej organizacji środków bezpieczeństwa.

Pobierz plik PDF z porównaniem norm

Pobierz

Podsumowanie

Administratorzy danych osobowych nie mogą się już powoływać na nieznajomość odpowiednich środków technicznych i organizacyjnych.

Dzięki decyzji Prezesa UODO, zyskaliśmy w końcu pewien punkt odniesienia, który będzie bardzo pomocny przy budowaniu zabezpieczeń z obszaru security IT.

Pobierz artykuł

Pobierz artykuł w PDF

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
rodo faq
Czy z firmą sprzątającą należy podpisać umowę powierzenia? #RODOFAQ
rodo faq
Czym są pseudonimizacja i anonimizacja danych osobowych? #RODOFAQ

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO