W świetle wszystkich decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO), 14 z nich dotyczyło naruszenia art. 5 ust. 1 lit. f, art. 5 ust. 2 oraz art. 32 ust. 1 i 2 RODO tj. niewystarczających środków technicznych i organizacyjnych zapewniających bezpieczeństwo informacji. 

Zapewnienie odpowiedniego bezpieczeństwa przetwarzania jest ważnym elementem w procesie ochrony danych osobowych, jednakże odpowiednie mierzenie i testowanie środków technicznych oraz organizacyjnych jest kluczowe – dzięki temu ryzyko wystąpienia naruszeń ochrony danych osobowych oraz praw i wolności osób, których dane przetwarzamy klasyfikowane jest na poziomie akceptowalnym.

Jakie błędy zostały popełnione?

Z analizy przeprowadzonej na podstawie wydanych przez PUODO decyzji, w których na Administratorów nałożono administracyjne kary pieniężne, uchybienia polegały w szczególności na:

• Braku zawartych umów powierzenia przetwarzania/braku stosownych zapisów w umowach/braku kontroli podmiotu przetwarzającego;
• Nieprzeprowadzeniu analizy ryzyka dla poszczególnych procesów przetwarzania lub brak jej udokumentowania;
• Braku regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych;
• Braku stosownej dokumentacji związanej z realizacją praw osób;
• Braku odpowiedniej dokumentacji ochrony danych osobowych oraz procedur zgłaszania naruszeń;
• Braku środków technicznych zabezpieczających sprzęty przed naruszeniem poufności;
• Nieprowadzeniu ewidencji osób upoważnionych;
• Nieodbieraniu uprawnień do systemów po zakończeniu stosunku pracy;
• Ignorowaniu informacji o potencjalnych naruszeniach ochrony danych osobowych;
• Braku aktualizacji oprogramowania oraz technicznego wsparcia producenta;
• Nieuwzględnianiu ochrony danych w fazie projektowania;
• Braku stosowania zabezpieczeń przenośnych nośników danych;
• Braku weryfikacji zabezpieczeń systemów informatycznych.

Artykuł 24 rozporządzenia nakłada na Administratora danych obowiązek wdrożenia „odpowiednich środków technicznych i organizacyjnych”, aby przetwarzanie danych osobowych odbywało się zgodnie z rozporządzeniem. Jednakże przepisy rozporządzenia w tym zakresie są bardzo ogólne i technologicznie neutralne – nie wskazują nam konkretnych rozwiązań. Wiemy natomiast, że zastosowane środki mają zapewnić stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. 

Co oznacza to w rzeczywistości?

Zacznijmy od tego, że zabezpieczenia dzielą się na organizacyjne oraz techniczne. Można powiedzieć, że środki organizacyjne to nic innego, niż podwaliny środków technicznych. Zaliczamy do nich:

• Stosowanie Polityk Bezpieczeństwa Danych Osobowych;
• Stosowanie Instrukcji postępowania w przypadku naruszenia ochrony danych;
• Wydawanie upoważnień do przetwarzania danych;
• Szkolenie pracowników z zakresu ochrony danych;
• Wprowadzenie innych wewnętrznych regulacji podnoszących poziom ochrony danych;
• Zawieranie umów powierzenia przetwarzania danych;
• Wyznaczenie Inspektora ochrony danych.

Spisanie zasad oraz wytycznych postępowania z danymi osobowymi jest istotne z punktu widzenia naczelnej zasady rozliczalności – która zobowiązuje Administratorów do wykazania przez niego zarówno przed organem nadzorczym, jak również przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

Środki techniczne natomiast mają na celu zapewnienie, że dostęp do aktywów jest autoryzowany i ograniczony w oparciu o wymagania bezpieczeństwa. Są to zatem wszystkie zabezpieczenia fizyczne oraz informatyczne mające na celu maksymalnie obniżyć ryzyko wystąpienia naruszenia oraz naruszenia praw lub wolności osób fizycznych w Organizacji. Zaliczamy do nich:

• System alarmowy,​
• Czujniki ruchu,​
• Gaśnice,
• Niszczarki,​
• Antywirus i firewall,​
• Kontrola dostępu do pomieszczeń,​
• Szafki zamykane na klucz,​
• Pomieszczenia zamykane na klucz,​
• Kopie bezpieczeństwa danych,​
• Kontrola uprawnień użytkowników,​
• Szyfrowanie danych,​
• Polityka haseł,
• Zabezpieczenia przed DDoS – atakami hakerskimi,
• Zabezpieczenia przed wyciekiem informacji (DLP).

A więc czym są omawiane „odpowiednie” zabezpieczenia?

Wdrażając odpowiednie środki techniczne i organizacyjne, należy zapewnić właściwy stopień bezpieczeństwa danych osobowych odpowiadający przeprowadzonej analizie ryzyka. Zatem „odpowiednie” zabezpieczenia będą takimi rozwiązaniami, które pozwolą Administratorowi, z jednej strony realnie podnieść poziom bezpieczeństwa w Organizacji a z drugiej strony będą adekwatne do oszacowanego ryzyka.

Rozporządzenie narzuca również na Administratorów konieczność poddawania przeglądom i uaktualnianiu zastosowanych środków technicznych i organizacyjnych. Dlaczego? Chociażby z uwagi na dynamiczny rozwój technologii jak również zagrożeń, w tym cyberzagrożeń, które stały się już nieodłącznym elementem naszego życia. Ostatnie zmiany w przepisach Kodeksu pracy dotyczące pracy zdalnej wymusiły na pracodawcach ponowne przeanalizowanie ryzyka oraz wdrożenie dodatkowych środków bezpieczeństwa związanych m.in. z kradzieżą dokumentów/sprzętu służbowego, naruszeniem poufności danych osobowych przez osoby postronne czy infrastrukturą sprzętowo-sieciową. 

Chodzi głównie o to, aby dobrać adekwatne rozwiązania do możliwości Organizacji. Zbyt rygorystyczne podejście np. przy mnogości zasad może spowodować utratę kontroli nad ich przestrzeganiem. Przykładem jest wydana 26.11.2020 r. decyzja administracyjna włoskiego organu nadzorczego w sprawie UILCOM Sardegna przeciwko Concentrix Cvg Italy s.r.l.:

Związek UILCOM Sardegna złożył skargę do włoskiego organu ochrony danych (garante) przeciwko operatorowi call center Concentrix Cvg Italy s.r.l. dotyczące regulacji wewnętrznej strony odpowiedzialnej. Zgodnie z zasadami „polityki czystego biurka” firma zakazała pracownikom trzymania niektórych przedmiotów, takich jak smartfony, na biurkach, co miało zapewnić poufność przetwarzania danych osobowych klientów. Wyjątki dotyczyły leków, które poszkodowani pracownicy udowodnili, że powinni przyjmować podczas zmiany. Należało je umieścić w widocznym miejscu na biurku, umożliwiając pośrednio innym pracownikom uzyskanie informacji o stanie zdrowia osób, których dane dotyczą. Administrator rzeczywiście poinformował osoby, których dane dotyczą, o zasadach postępowania i uzyskał ich zgody. Nie zawierało to jednak żadnych informacji o przetwarzaniu ich danych zdrowotnych.

Podsumowując, zabezpieczenia w Organizacji odgrywają ogromną rolę, jednak nie należy zapominać o właściwym zidentyfikowaniu ryzyk mogących wystąpić podczas wykonywania obowiązków służbowych. Adekwatne i na bieżąco monitorowane zagrożenia i zabezpieczenia pozwolą na skuteczną ochronę danych osobowych oraz bezpieczeństwo Organizacji. Musimy również pamiętać o stosowaniu takich rozwiązań, których jesteśmy w stanie przestrzegać i w razie konieczności wykazać przed organem nadzorczym.

Poniżej publikujemy przykładowy wzór checklisty, która pozwoli zweryfikować czy Twoja organizacja zastosowała minimalne środki techniczne i organizacyjne.