Rozmowa z Pawłem Dmowskim i Katarzyną Kloc, prawnikami z kancelarii Gawroński&Piecuch, współautorami wydanej właśnie książki Ochrona danych osobowych - przewodnik po ustawie i RODO z wzorami
Krzysztof Sobczak: Czy jeśli artykuł 32. RODO stwierdza, że zarówno administrator, jak i podmiot przetwarzający obowiązani są zapewnić stopień bezpieczeństwa danych osobowych odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, to jest jasne, co należy robić?
Katarzyna Kloc: Artykuł 32. jest podstawowym przepisem określającym oczekiwany poziom bezpieczeństwa przetwarzania danych. Wynika z niego obowiązek stosowania ochrony danych odpowiedniej (adekwatnej), odpowiadającej ryzyku naruszenia praw lub wolności osób. Dlatego w świetle art. 32 RODO, zarówno administratorzy jak i podmioty przetwarzające obowiązane są do przeprowadzenia ogólnej analizy ryzyka.
Jest jakiś jeden sposób na przeprowadzenie takiej oceny ryzyka, czy każda organizacja musi sama sobie z tym poradzić?
KK: Nie ma złotego środka w postaci jednej, uniwersalnej metodyki dla analizy ryzyka procesów przetwarzania danych osobowych. Przyjmuje się, że każda firma powinna wypracować swoją wewnętrzną metodę, która będzie dla użyteczna i dostosowana do specyfiki działalności. Oczywiście można się opierać na pewnych wypracowanych już rozwiązaniach, w tym korzystać z norm ISO (np. ISO/IEC 27005, ISO/IEC 27001 i ISO/IEC 27002) czy rozwiązania opracowanego przez francuski organ nadzorczy – CNIL (Comission Natinale de l’Informatique et des Libertes) w zakresie zarządzania ryzykiem (PIA – Privacy Impact Assessment). CNIL opracował również aplikację do analizy ryzyka.
Jak to działa? Opisujemy instytucję oraz charakter jej działalności i program podpowiada, co trzeba zrobić?
KK: Analizę ryzyka dobrze przeprowadzać względem konkretnego procesu bądź podobnych procesów przetwarzania danych np. proces rekrutacji. Określamy wszystkie niezbędne elementy wymagane przez art. 32 RODO, takie jak kontekst przetwarzania, zakres danych, procesy czy aktywa. W aktywach określamy przykładowo czy dane przetwarzane są za pomocą systemów informatycznych, na urządzeniach mobilnych, czy w proces zaangażowani w tą są pracownicy firmy, czy agencja zewnętrzna. Należy też określić zakres danych oraz wskazać istniejące lub przewidziane środki zabezpieczeń.
Trzeba ustalić na ile są to dane wrażliwe, wymagające szczególnej opieki i nadzoru?
Paweł Dmowski: Tak, zdecydowanie. To, że przetwarzamy dane szczególnych kategorii np. dane o stanie zdrowia wpływa na to, że zabezpieczenia zastosowane wobec przetwarzanie tego rodzaju danych muszą być zabezpieczeniami najwyższego poziomu.
Należy wziąć również pod uwagę to, jakie ryzyko jest związane z przetwarzaniem danych osobowych w konkretnej organizacji z uwagi na jej działalność. Trzeba przykładowo ocenić, czy dane są narażone na przypadkową utratę w wyniku ich przetwarzania np. na pendrive’ach i nieszyfrowanych komputerach przenośnych. Podobnie, w analizie ryzyka należy wziąć pod uwagę możliwość nieuprawnionego dostępu do danych osobowych przesyłanych niezabezpieczoną pocztą mailową lub uzyskanych w wyniku logowania do systemu firmy z zewnątrz.
KK: Generalnie chodzi o to, aby zapewnić adekwatny stopień bezpieczeństwa, odpowiadający zidentyfikowanemu ryzyku. Dane muszą być przetwarzane z zapewnieniem ich poufności, integralności i dostępności (tzw. atrybuty bezpieczeństwa czy inaczej triada „CIA”). W ramach analizy ryzyka trzeba przewidzieć, który z tych atrybutów może zostać naruszony w wyniku przetwarzania.
W ramach analizy ryzyka musimy przeanalizować również, jakie mogą być skutki naruszenia bezpieczeństwa danych dla osób, których dane dotyczą, czyli np. czy dojdzie do naruszenia praw lub wolności takich jak tajemnica korespondencji, prawo do prywatności czy prawo do równego traktowania.
No i jak już powstanie taka analiza ryzyka to trzeba zaplanować odpowiednie działania, a tu pojawia się takie magiczne sformułowanie: adekwatność środków. Wiadomo jak je zdefiniować?
KK: Każda organizacja musi sama, w oparciu o przeprowadzoną analizę ryzyka, dostosować sposoby i formy zabezpieczeń przetwarzania danych w firmie
PD: Przykładem może być sytuacja, gdy w organizacji laptop służbowy nie jest wynoszony na zewnątrz poza biuro i w związku z tym nie ma konieczności szyfrowania dysków hasłem, które ma trzydzieści znaków i jest skomplikowane, a do tego jeszcze dodawać token zabezpieczający ten to komputer. Jeżeli komputer cały czas jest w biurze oraz nie przetwarza się na nim danych wrażliwym, to wydaje się, że nie ma konieczności stosowania aż tak skomplikowanych i uciążliwych zabezpieczeń.
KK: Odwrotnym przykładem jest przetwarzanie danych szczególnych kategorii na komputerze, który w przypadku odejścia od miejsca pracy blokuje się automatycznie dopiero po np. 10 minutach. Automatyczna blokada jest, ale ustawienie czasu 10 minut może doprowadzić do naruszenia bezpieczeństwa danych. Taki środek jest więc nieadekwatny.
PD: Kolejnym przykładem jest zabezpieczenie sieci wewnętrznej wi-fi w organizacji trywialnym i łatwym do złamania hasłem. Zabezpieczenie formalnie jest wdrożone, aczkolwiek proste hasło jest zbyt słabym środkiem bezpieczeństwa.
KK: Zdajemy sobie sprawę, że to sformułowanie o adekwatności środków rodzi pewne wyzwanie, ale celem prac nad RODO było stworzenie takiego prawa, które będzie nadążało za postępem technologicznym. Neutralny technologicznie akt prawny musi być w ten sposób sformułowany, aby z jednej strony chronić przed szybko rozwijającą się cyberbeprzestępczością, a z drugiej nadążać za zmianami w branży IT.
To zawiesza dość wysoko poprzeczkę dla firm i instytucji. Pewnie wielu z nas wolałoby precyzyjne przepisy, mówiące konkretnie, co należy zrobić. Ale to nie ten przypadek?
PD: To prawda, ale od jakiegoś czasu obserwuje się taki trend w legislacji, że tworzy się przepisy nieostre, dające dyspozycję, że należy „zrobić tak, żeby było dobrze”. Takie podejście prezentuje RODO. Podobnie jest też w ustawie o przeciwdziałaniu praniu brudnych pieniędzy i finansowaniu terroryzmu.
KK: Ten trend jest skutkiem szybko zmieniającej się rzeczywistości. Przy tak intensywnym postępie technologicznym nie jest możliwe tworzenie takiego prawa, które odpowiadałoby rzeczywistości przed długi czas. A to z kolei prowadziłoby do częstych zmian legislacyjnych.
Tego nie lubimy.
PD: I słusznie, bo to niesie ryzyko niepewności i zagrożenie wystąpienia niespójności w regulacjach. Dlatego ten trend postępuje i mimo, że póki co jest wyzwaniem dla biznesu to zasługuje na uznanie.
Nakładem wydawnictwa Wolters Kluwer Polska ukaże się wkrótce książka: