U schyłku minionego roku w mediach pojawiły się niepokojące doniesienia o zatrważającej wręcz ilości firm, które nie poradziły sobie z zapewnieniem zgodności z RODO. O tych, którzy ponieśli porażkę w implementacji nowych przepisów lub w ogóle ich nie wdrożyli, mówi się dość sporo, jednocześnie nie poświęcając zbyt dużo czasu tym, którzy w tej materii deklarują sukces. Tymczasem warto przyjrzeć się i tym ostatnim – błędów i niedociągnięć uniknąć jest dość trudno.
(Zbyt) duża dowolność w wyborze zabezpieczeń
Mówiący o proaktywnym podejściu do ochrony danych art. 32 RODO umożliwia firmie pewną dowolność w doborze rozwiązań, które chronić mają przetwarzane przez nią informacje, pozwalając na wybranie najlepszych dla siebie zabezpieczeń na podstawie analizy ryzyka. Niestety przeprowadzenie tej ostatniej w sposób prawidłowy nie jest najłatwiejsze.
Pomyłek w wyborze zabezpieczeń upatrywać należy przede wszystkim w niewłaściwym podejściu do analizy ryzyka i nieskupieniu się na jej najważniejszych elementach – a błędnie wykonana najprawdopodobniej doprowadzi do niepoprawnego zidentyfikowania zagrożenia względem danego zasobu i w konsekwencji do złego dostosowania zabezpieczenia danych – powiedział Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24. Niestety doświadczenie pokazuje, że dziś niemal standardem jest stosowanie prowizorycznych narzędzi do przeprowadzania analizy ryzyka. Takimi najczęściej dysponują firmy, które ochroną danych zajmują się jedynie „z doskoku”. Złą praktyką jest również brak współpracy z właścicielami procesów przy określaniu potencjalnego ryzyka w nim występującego i przez to jego nieuwzględnienie, a w końcu modelowanie analizy ryzyka w sposób dla administratora wygodny i niewymagający zbyt wielu działań czy nakładów pieniężnych.
Dostosowanie obszaru IT nie ogranicza się jedynie do samego oszacowania ryzyka. Zgodnie z art. 32 RODO w oparciu o ustalenia poczynione w wyniku analizy ryzyka organizacje przetwarzające dane osobowe zobowiązane są wdrożyć „odpowiednie” środki techniczne i organizacyjne.
Zdecydowanie najwięcej wątpliwości w tym zakresie może wzbudzić punkt dotyczący konieczności zagwarantowania zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (art. 32 ust. 1 lit. b). Nawet dogłębne zapoznanie się z przepisami, poradnikami opublikowanymi przez Prezesa Urzędu Ochrony Danych Osobowych czy Wytycznymi Grupy Roboczej art. 29, nie daje jednoznacznej odpowiedzi na pytanie, jakie środki techniczne i organizacyjne będą w tym aspekcie wystarczające – zaznaczyła Agata Kłodzińska, specjalista ds. ochrony danych, ODO 24.
Mówiąc o dostosowaniu obszaru IT do nowych regulacji prawnych, nie sposób pominąć odpowiedniej dokumentacji. Mimo iż RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, to wyraźnie naciska na ich obecność w organizacji – wskazał Damian Gąska, inżynier ds. bezpieczeństwa informacji, ODO 24. Niestety na „biurokracji” skończyć nie możemy. Kolejnym niezmiernie ważnym oraz niezwykle trudnym do wykonania elementem jest dostosowanie infrastruktury pod kątem możliwości realizacji praw osób, których dane dotyczą – dodał Damian Gąska.
RODO nie narzuca administratorom danych dokładnego zakresu wewnętrznych polityk, ale naciska na ich obecność w organizacji. Część administratorów ignoruje kwestię udziału zewnętrznych podmiotów w przetwarzaniu danych i nie dostrzega potrzeby uregulowania swojego stosunku wobec podmiotu przetwarzającego. Inni z kolei masowo zawierają umowy powierzenia ze wszystkimi zidentyfikowanymi zewnętrznymi podmiotami, bez głębszej analizy i wchodzenia w szczegóły tego stosunku licząc, że na wypadek kontroli organu nadzorczego docenione zostanie ich, nawet błędne, podejście.
Warto zwrócić uwagę, że istnienie stosunku powierzenia determinuje stan faktyczny, a nie zawarcie przez strony umowy powierzenia. Nie ma ona bowiem charakteru konstytutywnego – sam fakt jej zawarcia nie tworzy stosunku powierzenia – a deklaratoryjny, czyli potwierdzający już istniejącą relację na linii administrator danych – procesor – powiedziała Agata Kłodzińska.
Ponadto istotna jest weryfikacja podmiotu zewnętrznego pod kątem spełniania przez niego wymogów wyrażonych w RODO. Jako administrator firma ma obowiązek upewnić się, czy procesor zapewnia odpowiedni poziom wdrożenia środków technicznych i organizacyjnych gwarantujących zgodność przetwarzania danych z przepisami RODO, w praktyce jednak niewiele organizacji jest w stanie wykazać, iż przed powierzeniem danych dokładnie sprawdzili swojego podwykonawcę.
Źródło: Biuetyn Informacyjny KODEKSU - Styczeń 2019 r.