Zapewnienie bezpieczeństwa danych osobowych nie powinno być kolejnym obowiązkiem prawnym nakładanym na podmioty przetwarzające dane osobowe, ale jednym ze strategicznych celi rozwoju firm. W dobie cyfrowej transformacji coraz więcej danych oraz informacji przechowywanych jest w sieci. Stąd ryzyko utraty tych danych jest znacznie większe niż jeszcze na początku XXI wieku.
Unia Europejska ujednolicając przepisy w zakresie ochrony danych osobowych nałożyła duży nacisk na zobowiązania Administratorów do zapewnienia bezpieczeństwa danych. Wynika to wprost z przepisów Rozporządzanie RODO, a mianowicie:
- zgodnie z art. 5 ust. 1 lit. f) Rozporządzenia RODO – Zasady przetwarzania danych
dane osobowe muszą być: przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”)
- zgodnie z art. 32 ust. 1 Rozporządzenia RODO – Bezpieczeństwo
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.
Dlatego wdrażając zasady RODO, zapewniające bezpieczeństwo przetwarzania danych osobowych należy dopasować je do modelu działania danej firmy oraz oprzeć na trzech podstawowych atrybutach:
C – confidentiality – poufność
I – integrity – integralność
A – availability – dostępność
Bezpieczeństwo danych a kara dla Morele.net
O obowiązku zapewnienia bezpieczeństwa przez podmioty przetwarzające dane wspomniał także Prezes UODO w decyzji z dnia 10 września 2019 r. nakładającej karę na spółkę Morele.net w wysokości ok 2,8 mln zł za naruszenie przepisów o ochronie danych:
„Spółka (…) nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk.”
Praktyczne wskazówki dla Administratorów:
Szkolenie pracowników
Bezpieczeństwo danych osobowych w firmie to kwestia równowagi oraz zdrowego rozsądku, każdej osoby, która się tym zajmuje, dlatego tak ważne jest prowadzenie szkoleń dla pracowników, przetwarzających dane. Odpowiednie przygotowanie w tym zakresie zapewni poczucie komfortu zarówno przełożonym, jak i ich podwładnym. W dobie szybko rozwijających się nowych technologii, należy przyłożyć szczególną wagę do edukacji uwzględniającej dynamiczne zmiany. Regularne szkolenia pracowników w zakresie bezpieczeństwa danych osobowych to bardzo istotna kwestia, której zignorowanie, może nieść za sobą konsekwencje.
„Bezpieczeństwo to nie produkt – to proces” – Bruce Schneider.
Nowe technologie zapewniają nam coraz większe bezpieczeństwo. Znalezienie luk w systemach może okazać się coraz trudniejsze. Dlatego jak wspomniał Kevin D. Mitnick w swojej książce „Sztuka podstępu” napastnicy będą zwracać swoje działania w kierunku ludzkich słabości. Bezpieczeństwo danych osobowych pozostanie więc zależne od stopnia świadomości pracowników mających dostęp do kluczowych informacji, a przede wszystkim od rzetelnego podejścia osób odpowiedzialnych za administrowanie wrażliwymi zasobami w każdej firmie. W myśl zasady „każdy system jest mocny tak, jak jego najsłabsze ogniwo” w obszarze RODO zaporą najłatwiejszą do sforsowania będzie czynnik ludzki. Dlatego należy w tym miejscu postawić na uświadamianie, szkolenie i wdrażanie istniejących instrumentów prawnych.
Aby zapewnić firmie bezpieczeństwo danych osobowych, powinno się wdrożyć odpowiednie środki, które zajmą się regulacją przepisów przetwarzania danych. Do tego typu dokumentów należą, m.in.:
- politykę bezpieczeństwa,
- instrukcję zarządzania systemem informatycznym.