Administratorom bezpieczeństwa informacji i specjalistom od zabezpieczenia danych osobowych sen z powiek spędza kwestia zabezpieczenia danych osobowych zgodna z ogólnym unijnym rozporządzeniem o ochronie danych (RODO), które będzie miało zastosowanie od 25 maja 2018 r. Do tej pory sytuacja była paradoksalnie stosunkowo prosta – w praktyce organizacje musiały wykazać zgodność stosowanych przez nie środków zabezpieczeń z listą środków wskazanych w rozporządzeniu o środkach zabezpieczających z 2004 r. Teraz sytuacja diametralnie się zmieni – to organizacje będą musiały samodzielnie ocenić adekwatność zabezpieczenia danych. Jak mają się zmierzyć z tym wyzwaniem i czy są na to gotowe?
Nowe podejście
Zarówno teraz, jak i w przyszłości na organizacjach będzie ciążył obowiązek samodzielnego określenia stosownych środków zabezpieczających i ustalenia poziomu zabezpieczeń adekwatnego do ryzyka związanego z przetwarzaniem danych.
Szczegółowe przepisy określone w rozporządzeniu o środkach zabezpieczających z 2004 r. (choć już dość archaiczne i pozostawiające wiele do życzenia), pomagały w osiągnięciu formalnej zgodności z prawem. Dotychczasowe podejście pozwalało przedsiębiorcom w stosunkowo łatwy sposób wywiązać się z bardzo formalistycznych obowiązków ochrony danych, poprzez przygotowanie sztampowej dokumentacji, odłożenie jej na półkę i powracanie do niej jedynie w przypadku kontroli generalnego inspektora ochrony danych osobowych.
Ustawa o ochronie danych osobowych oraz wspomniane rozporządzenie o środkach zabezpieczających przestaną obowiązywać 25 maja 2018 r. wraz z rozpoczęciem stosowania rozporządzenia PE i Rady nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO"). Rozporządzenie przewiduje jedynie ogólne obowiązki wdrożenia środków technicznych i organizacyjnych przetwarzania danych, uwzględniających charakter, zakres, kontekst, cele przetwarzania danych i ryzyko naruszenia, a także wdrożenia polityk ochrony danych (o ile jest to proporcjonalne do czynności przetwarzania). Wskazuje też nieliczne przykłady zabezpieczenia danych jak szyfrowanie i pseudonimizację a także wymienia zasady zabezpieczenia danych takie jak:
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Zdrowy rozsądek to za mało
Jak organizacje mają sobie poradzić z takim wyzwaniem w przypadku braku szczegółowych wytycznych? Zdrowy rozsądek jest pomocny, ale nie wystraczający. Kluczowe będą dobre praktyki zawierające rekomendowane środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych następcy prawnego GIODO, tj. wydane przez prezesa Urzędu Ochrony Danych Osobowych (dalej: prezes urzędu). Jednak mogą one zostać wydane dopiero po wejściu w życie nowej ustawy o ochronie danych osobowych, tj. najwcześniej w okolicach wiosny 2018 r. Może to być zdecydowanie za późno dla wielu organizacji, które muszą zdążyć z wdrożeniem standardów określonych w RODO do 25 maja 2018 r.
Do czasu powstania wytycznych zgodnych z RODO z pomocą przyjdą z pewnością dotychczasowe wytyczne zawarte w opiniach Grupy Roboczej Art. 29 (np. w opinii 05/2012 (WP 196) o cloud computingu) i standardy i normy bezpieczeństwa informacji, ale też dotychczasowa praktyka GIODO. Być może pojawią się wytyczne ze strony Europejskiej Rady Ochrony Danych (następcy Grupy Roboczej Art. 29 „EROD"). Z pewnością jednak administratorzy i podmioty przetwarzające będą musieli sami zidentyfikować zagrożenia i wypracować odpowiedni poziom zabezpieczeń oraz odpowiedzieć sobie na pytanie jakie wewnętrzne procedury i polityki powinny zostać wprowadzone, aby dane przetwarzane były zgodnie z RODO.
Na część pytań związanych z zabezpieczeniem danych pod rządami RODO możemy odpowiedzieć już teraz.
A oto najczęściej zadawane pytania i udzielane odpowiedzi.
- Czy organizacje będą musiały posiadać instrukcje zarządzania systemem informatycznym i politykę bezpieczeństwa?
Nie, zgodnie z RODO takie dokumenty nie są już wymagane. Nie oznacza to jednak, że informacje i zasady wskazane w tych dokumentach będą bezużyteczne. Większość z nich jak zasady dostępu do danych, reagowanie w przypadku naruszeń powinny znaleźć odzwierciedlenie pod rządami RODO. Zasady zabezpieczenia danych osobowych powinny też być ujęte w formie polityk, gdyż organizacje powinny wykazać zabezpieczenie danych zgodne z RODO.
- Czy organizacje na mocy RODO będą musiały udzielać upoważnień?
Prawdopodobnie tak. Dotychczasowa ustawa o ochronie danych osobowych nakazywała organizacjom udzielanie swoim pracownikom i współpracownikom upoważnień przy czym wskazywała, jakie elementy takie upoważnienie powinno zawierać. RODO nie wskazuje wprost na obowiązek udzielania upoważnień i ich zakres. Jednak zarządzanie dostępem do danych osobowych jest jedną z podstawowych zasad ochrony informacji. RODO wskazuje pośrednio, że przetwarzający powinni upoważnić osoby do przetwarzania danych osobowych przez użycie sformułowania osoby działającej z upoważnienia. Skoro przetwarzający mają obowiązek udzielenia upoważnienia, to tym bardziej taki obowiązek powinien dotyczyć administratorów.
- Co to jest pseudonimizacja?
Pseudonimizacja danych jest nowym środkiem zabezpieczenia danych wskazanym w RODO, którego obecne przepisy w ogóle nie przewidują.
Pseudonimizacja to użycie w miejsce np. imienia i nazwiska rzeczywistej osoby, liczby, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji. Te dodatkowe informacje powinny być przechowywane osobno i objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie określonej osobie fizycznej.
Pseudonimizacji nie należy mylić z anonimizacją danych, czyli takiej modyfikacji danych, która uniemożliwia identyfikację osoby fizycznej. Pseudonimizacja zwiększa jedynie bezpieczeństwo danych, w związku z czym dane spseudonimizowane dalej pozostają danymi osobowymi ze wszystkimi tego konsekwencjami. Zasadność stosowania pseudonimizacji powinna być uwzględniana w fazie projektowania, na etapie wdrażania zabezpieczeń i rozwiązań informatycznych oraz w przypadku zmiany celu przetwarzania danych bez zgody osoby fizycznej. Przykładowo, do zmiany celu przetwarzania dochodzi, gdy dane zostały zebrane w celu zawarcia i wykonania umowy, po czym administrator danych rozpoczyna przetwarzanie danych w celu przeciwdziałania oszustwom.
- Kiedy RODO wymaga szyfrowania danych?
Wobec wzrastającej liczby cyberataków w wielu branżach, m.in. telekomunikacyjnej, ubezpieczeniowej czy energetycznej szyfrowanie w wielu przypadkach jest uznawane za odpowiedni środek zabezpieczenia danych. Rozporządzenie o zabezpieczeniu danych z 2004 r. przewiduje wprost obowiązki szyfrowania danych przetwarzanych na komputerach przenośnych (a także na pendrivach zgodnie z interpretacją GIODO) oraz danych wykorzystywanych do uwierzytelnienia, przesyłanych w sieci publicznej. Z niektórych decyzji GIODO można wysnuć interpretację, że organizacje powinny szyfrować dane przesyłane w sieci publicznej (w Internecie) nawet wtedy, gdy nie służą one uwierzytelnieniu użytkownika, np. przesyłając e-maile zawierające dane osobowe klientów. W niedawno opublikowanej opinii w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty elektronicznej GIODO wskazuje na szyfrowanie jako najlepszy sposób zabezpieczenia danych przesyłanych drogą e-mailową (http://giodo.gov.pl/222/id_art/9801/j/pl/).
Zgodnie z zaleceniami Grupy Roboczej art. 29 oraz Grupy Berlińskiej, jak również normami ISO, szyfrowanie danych jest zalecane przy przetwarzaniu danych w chmurze. Szyfrowanie, jako środek bezpieczeństwa jest zalecane również w przypadku niektórych usług świadczonych drogą elektroniczną, gdy ujawnienie osobom nieuprawnionym pewnych danych (numery kart, hasła dostępu do usług) mogłoby wyrządzić szkodę majątkową (np. płatności w transakcjach elektronicznych, bankowość internetowa) lub niemajątkową, np. porady medyczne.
RODO wprost wskazuje na szyfrowanie, jako jeden z podstawowych środków służących zabezpieczeniu danych. Zgodnie z RODO szyfrowanie jest wskazane w szczególności wtedy, gdy dochodzi do zmiany celu przetwarzania bez zgody osoby fizycznej (podobnie jak w przypadku pseudonimizacji).
Szyfrowanie danych na odpowiednim poziomie może okazać się niezbędne w przypadku zastosowania danych wrażliwych, w tym danych biometrycznych. W razie wycieku zaszyfrowanych danych ryzyko ich odczytania przez osoby nieupoważnione i posłużenia się nimi będzie znacznie mniejsze.
RODO nie precyzuje, w jakich konkretnie okolicznościach należy stosować szyfrowanie, zatem organizacje powinny posiłkować się dotychczasowymi opiniami i wytycznymi oraz tymi, które zostaną dopiero opracowane przez prezesa urzędu i ewentualnie przez EROD. Istnieje bardzo duże prawdopodobieństwo, że organy te skorzystają z dorobku opinii Grupy Roboczej w zakresie szyfrowania danych.
- Dlaczego warto odpowiednio zabezpieczać dane osobowe zgodnie z RODO?
Odpowiedź wydaje się oczywista – wysokie kary. Ale nie tylko. RODO nakłada na administratorów nowy obowiązek polegający na poinformowaniu osób fizycznych o naruszeniu ochrony danych (obok zawiadomienia organu nadzorczego), jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tych osób. Zawiadomienie nie jest jednak wymagane, jeżeli administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony, w szczególności takie jak szyfrowanie, uniemożliwiające odczyt danych przez osoby nieuprawnione.
- Czy RODO wymaga tworzenia kopii zapasowych?
Innym środkiem zabezpieczenia danych jest tworzenie kopii zapasowych. Rozporządzenie o środkach zabezpieczających wskazuje na ten wymóg. W zakresie sposobu i formy tworzenia kopii zapasowych organizacje powinny posiłkować się wytycznymi Grupy Roboczej art. 29 oraz normami ISO, w których wskazuje się, że kopie zapasowe powinny być przechowywane w fizycznie albo logicznie różnych lokalizacjach. Ponadto, dostawca usługi przechowywania danych w chmurze powinien zapewnić mechanizmy tworzenia backup'u w momentach ewentualnego zerwania połączenia internetowego. Dodatkowo, kopie zapasowe powinny być tworzone i testowane regularnie zgodnie z założeniami backup policy administratora danych lub podmiotu, który wykonuje te czynności na zlecenie administratora. Obowiązek usuwania danych po osiągnięciu celu, dla którego zostały zebrane dotyczy nie tylko wszelkich nośników pamięci, na których dane się znajdują, ale także kopii zapasowych, w tym kopii zapasowych znajdujących się w chmurze, o czym administratorzy często zapominają.
RODO nie wskazuje wprost na obowiązek tworzenia kopii zapasowych jednak nie ulega wątpliwości, że taki obowiązek wynika z przyjętych rynkowo standardów. Tworzenie kopii zapasowych pośrednio wynika z obowiązku zapewnienia dostępności do danych wskazanego w RODO. Podobnie jak w przypadku szyfrowania, dobre praktyki prezesa urzędu i wytyczne organów powinny uwzględniać dotychczasowe zalecenia i wytyczne w tym zakresie.
- Jakie są inne nowe obowiązki związane z zabezpieczeniem danych przewidziane w RODO?
Jeżeli przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania powinien dokonać oceny skutków dla ochrony danych osobowych (ang. data protection impact assessment), co jest zupełną nowością względem dotychczasowych przepisów.
Do tej pory powołanie administratora bezpieczeństwa informacji (ABI) było dobrowolne. Pod rządami RODO powołanie inspektora ochrony danych (odpowiednika ABI) w pewnych sytuacjach będzie obowiązkowe (np. przez podmioty publiczne oraz w większości przypadków szpitale, jako podmioty przetwarzające dane o stanie zdrowia pacjentów na dużą skalę).
Zdaniem eksperta
Nowe sankcje - Izabela Kowalczuk-Pakuła, radca prawny kieruje praktyką ochrony prywatności i danych osobowych w kancelarii Bird & Bird;
Marian Giersz, doradca podatkowy, prawnik w zespole ochrony prywatności i danych osobowych oraz zespole TMT kancelarii Bird & Bird
Wiele organizacji nie zdaje sobie sprawy, że całość obowiązków przewidzianych w RODO powinna zostać wdrożona jeszcze przed 25 maja 2018 r., w przeciwnym wypadku organizacja narazi się na dotkliwe kary finansowe przewidziane w RODO liczone od globalnego obrotu (maksymalnie do 4 proc. obrotu lub do 20 mln euro w zależności od tego, która kwota będzie większa). W przypadku globalnych korporacji kary mogą iść zatem w setki milionów euro. Czy takie dotkliwe kary będą nakładane za każdy przypadek naruszenia – oczywiście, że nie. Organizacje muszą się „postarać", żeby dostać tak wysoką karę za brak odpowiedniego zabezpieczenia danych. Niemniej jednak poziom kar powinien zachęcać i motywować organizację do jak najszybszego dostosowania się do nowych regulacji.
Wszystko wskazuje na to, że za naruszenie przepisów o ochronie danych osobowych będą groziły również sankcje karne. W niedawno opublikowanym przez Ministerstwo Cyfryzacji projekcie nowej ustawy o ochronie danych osobowych brak jest wprawdzie sankcji karnych, jednak z doniesień prasowych wynika, że sankcje karne będą, a projekt w tym zakresie zostanie zmieniony. Decyzję ministerstwa o pozostawieniu sankcji karnych należy ocenić pozytywnie. Powstaje jednak pytanie o to jak nowe przepisy karne będą stosowane w praktyce przez sądy i prokuraturę. Obecnie liczba spraw kierowanych do sądów z aktami oskarżenia wynosi od kilku do kilkudziesięciu rocznie, co w skali kraju należy uznać za liczbę znikomą i niewystarczającą.
Dużą zmianą będzie natomiast możliwość dochodzenia przez osoby fizyczne odszkodowania za poniesioną szkodę w związku z naruszeniem RODO przez podmioty przetwarzające dane. Do tej pory dochodzenie odszkodowania przez osoby fizyczne na drodze cywilnoprawnej było wprawdzie możliwe na podstawie ogólnych przepisów kodeksu cywilnego, ale sądy podchodziły do takich spraw sceptycznie. Również świadomość obywateli o istnieniu tego środka była niewielka. RODO wprost natomiast przewiduje możliwość dochodzenia odszkodowania zarówno za szkodę majątkową, jak i niemajątkową, co oznacza, że dochodzenie zadośćuczynienia pieniężnego np. za bezprawne ujawnienie naszych danych osobowych będzie znacznie łatwiejsze. Nie wiadomo jeszcze, jakie będzie podejście polskiego ustawodawcy, ale wszystko wskazuje na to, że dochodzenie roszczeń na podstawie przepisów o ochronie danych osobowych będzie zbliżone do postępowań o ochronę dóbr osobistych przewidzianych w kodeksie cywilnym.